Sécurité des switches et routeurs : 5 bonnes pratiques en 2026

Sécurité des switches et routeurs : 5 bonnes pratiques en 2026

Image by: Brett Sayles

Introduction

Saviez-vous que 60% des violations de sécurité réseau proviennent d’équipements internes non sécurisés (source ENISA)? Une simple boucle de routage mal gérée peut paralyser votre infrastructure en minutes. Ce guide pratique détaille quatre techniques essentielles pour sécuriser votre infrastructure réseau locale contre les intrusions et les défaillances internes. Vous découvrirez pas à pas comment neutraliser les ports inactifs, contrôler l’accès physique, sécuriser les connexions d’administration et protéger STP – des compétences vitales que tout technicien IT doit maîtriser pour prévenir les catastrophes opérationnelles. Vos routeurs et switches méritent plus qu’une configuration par défaut !

Désactiver les ports inutilisés

Les ports réseau activés mais non utilisés sont des portes dérobées potentielles. Selon le CIS Benchmark, cette mesure réduit de 42% les risques d’intrusion physique. Procédez ainsi :

Étapes pratiques sur Cisco IOS

  • show interface status pour identifier les ports « notconnect »
  • Mode configuration : interface range gi0/1-24
  • Commande de désactivation : shutdown
  • do show run | include shutdown pour vérification

Exemple réel : Un technicien a découvert un scan réseau provenant d’un port de salle de conférence oublié, utilisé pour injecter un ransomware. La désactivation systématique crée une surface d’attaque minimaliste.

Implémenter la port security

Cette fonctionnalité bloque les appareils non autorisés connectés physiquement à vos switchs. Une étude de SANS Institute montre qu’elle prévient 80% des accès pirates sur site.

Type de sécurité Avantages Limitations
Adresse MAC statique Contrôle maximal Maintenance lourde
Dynamic sticky Apprentissage automatique Vulnérable aux usurpations
Avec violation « shutdown » Protection stricte Risque de DOS accidentel

Configuration recommandée :

  1. switchport mode accessswitchport port-security
  2. switchport port-security maximum 2 (tolérance bureautique)
  3. switchport port-security violation restrict (alertes sans interruption)

Pour durcir les accès critiques, combinez ceci avec des solutions NAC.

Activer SSH et désactiver Telnet

Choisir SSH plutôt que Telnet est crucial puisque telnet envoie tout en clair, mots de passe inclus. La migration prend 15 minutes maximum.

Migration étape par étape

  • Générer des clés RSA : crypto key generate rsa modulus 2048
  • Configurer le domain-name : ip domain-name votredomaine.com
  • Activer SSH v2 : ip ssh version 2
  • Désactiver Telnet : line vty 0 15transport input ssh

Résultat : Chiffrement AES-256 contre les écoutes réseau, conforme aux standards ANSSI RGS.

Sécuriser STP avec BPDU guard

Le Spanning Tree Protocol (STP) est vulnérable aux boucles malveillantes causées par des switches non autorisés. Le BPDU Guard désactive immédiatement les ports recevant des BPDU non légitimes.

Implémentation sur ports d’accès

  1. Interface configuration : interface range gi0/1-48
  2. spanning-tree portfast (accélère la convergence)
  3. spanning-tree bpduguard enable → Testez avec un mini-switch tiers

Danger réel : Des étudiants avaient créé une boucle délibérée via un switch domestique connecté à une prise murale, bloquant tout le VLAN. Le BPDU Guard coupe automatiquement ces menaces en <1 seconde. Complétez avec Root Guard pour le coeur réseau, comme expliqué dans notre guide avancé.

Stratégies complémentaires

Consolidez votre sécurité réseau avec ces mesures en couches :

  • 802.1X/RADIUS : Authentification des appareils avant connexion physique (exemple : FreeRADIUS + switch Cisco)
  • ACLs logiques : access-list 110 deny ip any any log pour tracer les anomalies
  • Supervision SNv3 avec chiffrement : Utilisez SNMP v3 pour des alertes temps réel

Un audit semestriel incluant show port-security et show ssh maintiendra vos configurations efficaces face aux nouvelles menaces comme les attaques MAC flooding.

Frequently asked questions

La désactivation des ports réduit-elle les risques de boucles STP ?

Absolument. Un port désactivé (shutdown) ignore tout trajet réseau et ne peut donc pas propager de BPDU ou former de boucle. C’est votre première barrière contre des équipements parasites connectés accidentellement ou malveillamment.

Que faire si port-security bloque accidentellement un poste légitime ?

Utilisez un mode de violation « restrict » plutôt que « shutdown« . L’appareil légitime sera autorisé après vérification via clear port-security sticky address X. Périodiquement, réinitialisez les adresses avec clear port-security all et mettez à jour votre système d’inventaire.

Est-il risqué d’activer BPDU guard sur tous les ports ?

Oui, ne l’activez que sur les ports d’accès (edge). Les ports trunk vers d’autres switches légitimes doivent le désactiver. Une erreur courante est d’activer BPDU guard globalement, ce qui peut désactiver des liens critiques lors de reconfigurations STP normales.

Conclusion

Sécuriser une infrastructure réseau locale exige une approche en profondeur. En combinant la désactivation des ports inactifs, l’implémentation de Port Security, la migration de Telnet vers SSH et la protection du protocole STP avec BPDU Guard, vous neutralisez 90% des vecteurs d’attaque internes. Des boucles réseau désastreuses aux intrusions physiques, ces stratégies forment une barrière proactive vérifiable via les commandes de base. Aucun compromis n’est acceptable avec la sécurité réseau : testez ces dispositifs dès aujourd’hui sur un équipement non critique. Consultez nos kits de sécurité Cisco pour mettre en œuvre ces configurations efficacement. Votre infrastructure mérite le niveau de protection maximale !