Aller au contenu
Cliquez ici pour ouvrir la documentation des switchs gérés localement, notamment les guides de l’interface par ligne de commande et de l’API.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=switch-management-security

Sécurité

Vous pouvez configurer les paramètres de sécurité pour Sophos Switch, tels que la protection contre les DoS, l'authentification 802.1X, la sécurité des ports, et ajouter ou supprimer des serveurs RADIUS et TACACS+.

DoS

Sophos Switch peut surveiller et bloquer les attaques par déni de service (DoS). Une attaque DoS est un flux de trafic réseau destiné à submerger l’hôte pour perturber sa connexion au réseau.

Sélectionnez Activé ou Désactivé pour activer ou désactiver la protection DoS. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.

Après avoir activé ou désactivé DoS, cliquez sur Mettre à jour pour enregistrer vos modifications.

Lorsque vous activez la protection DoS, le switch bloque les paquets correspondant aux types d’attaques DoS suivants :

  • Adresse MAC de destination identique à l’adresse MAC source : Bloque le trafic lorsque les adresses MAC source et de destination sont identiques.
  • L’adresse IP de destination de l’attaque LAND est identique à l’adresse IP source (IPv4/IPv6) : Bloque les paquets dont les adresses IP source et de destination sont identiques.

  • TCP Blat (Port TCP de destination identique au port TCP source) : Bloque les paquets TCP dont les ports TCP source et de destination sont identiques.

    Remarque

    Le client NTP (Network Time Protocol) utilise parfois le même port source et de destination. Lorsque la protection DoS est activée, Sophos Switch le détecte en tant qu’attaque TCP Blat et bloque les paquets. Nous vous recommandons de désactiver la protection DoS si vous exécutez d'anciens clients NTP qui utilisent les mêmes ports source et de destination.

  • UDP Blat (Port UDP de destination égal au port UDP source) : Bloque les paquets UDP dont les ports UDP source et UDP de destination sont identiques.

  • Ping de la mort (IPv4/IPv6) : Bloque les paquets d’une longueur supérieure à 64 Ko et les fragmente.
  • Fragment minimum IPv6 (octets) : Limite la taille minimum des fragments IPv6 à 1240 octets.
  • Fragments ICMP (IPv4/IPv6) : Bloque les paquets ICMP fragmentés.
  • Taille max. du ping IPv4 : Limite la longueur maximale d’un paquet ping IPv4 à 512 octets.
  • Taille max. du ping IPv6 : Limite la longueur maximale d’un paquet ping IPv6 à 512 octets.
  • Attaque Smurf (longueur du masque de réseau) : Limite la longueur du masque de réseau des paquets ICMP de diffusion à 24 (x.x.x.255).
  • Taille d’en-tête TCP minimale (octets) : Limite la taille minimale de l’en-tête TCP à 20 octets.
  • TCP-SYN : Bloque les paquets TCP dont l’indicateur SYN est défini, l’indicateur ACK n’est pas défini et dont le port source est inférieur à 1024.
  • Null Scan : Bloque les paquets TCP lorsqu’aucun indicateur n’est défini et que le numéro de séquence est égal à zéro.
  • Xmas : Bloque les paquets TCP dont le numéro de séquence est égal à zéro et dont les indicateurs FIN, URG et PSH sont définis.
  • TCP SYN-FIN : Bloque les paquets TCP avec des indicateurs SYN et FIN définis.
  • TCP SYN-RST : Bloque les paquets TCP avec des indicateurs SYN et RST définis.

802.1X

Sophos Switch prend en charge le contrôle d’accès réseau basé sur les ports 802.1X pour authentifier les utilisateurs et les appareils en utilisant un serveur RADIUS ou TACACS+.

Paramètres généraux

Activez ou désactivez l'authentification 802.1X dans l'onglet Paramètres généraux. Vous pouvez également gérer les assignations de VLAN invité, définir l'ID de VLAN invité et sélectionner la méthode d'authentification.

Vous pouvez configurer les paramètres généraux suivants :

  • État : Sélectionnez Activé ou Désactivé pour activer ou désactiver l’authentification 802.1X. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.
  • VLAN invité : Sélectionnez Activé ou Désactivé. Veuillez sélectionner Activé pour définir un ID de VLAN invité. Sélectionnez Non défini pour utiliser les paramètres configurés localement sur le switch.
  • ID VLAN invité : Sélectionnez un VLAN dans la liste des VLAN définis.
  • Méthode d’authentification : Sélectionnez Utilisateur local, RADIUS ou TACACS+ dans la liste déroulante.

La Source de configuration affiche l’origine des paramètres.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Paramètres de port

Dans l'onglet Paramètres de port, vous pouvez configurer les paramètres du port et définir l'authentification en utilisant 802.1X, le contournement d'authentification MAC (MAB) ou une combinaison des deux. Pour configurer le MAB, voir Configurer le contournement d'authentification MAC (MAB).

Sélectionnez les ports à configurer et cliquez sur Modifier.

Vous pouvez configurer les options suivantes :

  • Mode : Sélectionnez le mode de port parmi les options suivantes :

    • Non défini : Utiliser les paramètres configurés localement sur le switch.
    • Auto : Activer l'authentification 802.1X sur l'interface. Lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification, vous devez sélectionner Auto.
    • Forcer autorisé : Bloquer tout le trafic non authentifié sur l'interface.
    • Forcer non autorisé : Autoriser tout le trafic non authentifié sur l'interface.

  • Mode MAB : Sélectionner le mode MAB parmi les options suivantes :

    • Non défini : Utiliser les paramètres configurés localement sur le switch.
    • MAB : Utiliser uniquement MAB.
    • Hybride : Essayer d'authentifier en utilisant 802.1X d'abord. Après trois tentatives échouées, le switch utilise MAB à la place.
    • Désactivé : Ne pas utiliser le MAB.

  • Mode d’authentification : Sélectionnez le mode d'authentification parmi les options suivantes :

    • Non défini : Utiliser les paramètres configurés localement sur le switch.
    • Basé sur le port : Authentifier les hôtes connectés à chaque port.
    • Basé sur l’hôte : Authentifier tout le trafic sur un seul port.

  • Nombre maximum d’hôtes : Ce paramètre ne s'applique que lorsque le Mode d'authentification est défini sur Basé sur l'hôte. Il définit le nombre maximum d'hôtes pouvant être connectés à un port. Définissez une valeur comprise entre 1 et 10 .

  • VLAN invité : Activez ou désactivez VLAN invité. Vous devez le désactiver lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification.
  • Assignation du VLAN RADIUS : Activer ou désactiver l'assignation de VLAN RADIUS. Vous devez le désactiver lorsque vous utilisez Basé sur l'hôte comme Mode d'authentification.
  • Réauthentification : Activer ou désactiver la réauthentification du port.
  • Période de réauthentification : Le temps, en secondes, avant que le port doive se réauthentifier. Définissez une valeur comprise entre 30 et 65535. Le nombre par défaut est 3600.
  • Période de silence : Le temps, en secondes, avant que le switch tente de se réauthentifier après un échec d'authentification. Définissez une valeur comprise entre 0 et 65535. Le nombre par défaut est 60.
  • Période du demandeur : Ce paramètre contrôle la fréquence à laquelle le switch envoie des requêtes EAP, en secondes. Le switch envoie trois requêtes à cet intervalle avant de passer à MAB. Définissez une valeur comprise entre 0 et 65535. Le nombre par défaut est 30.
  • État Autorisé : Affiche l'état d'authentification du port spécifié.

La Source de configuration affiche l’origine des paramètres du port.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Hôte authentifié

L’onglet Hôte authentifié affiche des informations sur les hôtes authentifiés.

Sécurité des ports

Dans l’onglet Sécurité du port, vous pouvez limiter le nombre d’adresses MAC que le switch peut apprendre sur un port spécifique.

Vous pouvez configurer les options suivantes :

  • Port : Le port auquel s’appliquent les paramètres.
  • État : Sélectionnez Activé ou Désactivé pour activer ou désactiver Sécurité du port.
  • Nombre max. d’adresses MAC : Saisissez le nombre maximum d'adresses MAC que le switch peut identifier sur le port spécifié. La plage est comprise entre 1 et 256.

La Source de configuration affiche l’origine des paramètres de sécurité du port.

Cliquez sur Mettre à jour pour enregistrer les paramètres ou sur Effacer pour supprimer les modifications non enregistrées.

Serveur RADIUS

Vous pouvez utiliser un serveur RADIUS pour authentifier les utilisateurs accédant à un réseau. Le serveur RADIUS maintient une base de données d'utilisateurs, qui contient des informations d'authentification. Le switch transmet des informations au serveur RADIUS pour authentifier un utilisateur avant d'autoriser l'accès au réseau.

Vous pouvez configurer les options suivantes :

  • ID du serveur : L’ID du serveur RADIUS.
  • IP du serveur : L’adresse IP du serveur RADIUS.
  • Port autorisé : Le port utilisé pour communiquer avec le serveur RADIUS. Le port par défaut est 1812.
  • Secret partagé : La chaîne utilisée pour chiffrer toutes les communications RADIUS entre l’appareil et le serveur RADIUS.
  • Délai d’attente : La durée de temps pendant laquelle l’appareil attend une réponse du serveur RADIUS avant de passer au serveur suivant. Le nombre par défaut est 3.
  • Délai de reconnexion : Le nombre de requêtes transmises envoyées au serveur RADIUS avant qu’un échec ne se produise. Le nombre par défaut est 3.

Source de configuration affiche l’origine des paramètres du serveur RADIUS.

Pour créer une nouvelle entrée de serveur RADIUS, cliquez sur Ajouter.

Pour supprimer des entrées de serveur RADIUS, sélectionnez les serveurs que vous souhaitez supprimer et cliquez sur Supprimer.

Serveur TACACS+

Les serveurs TACACS+ fournissent une authentification centralisée pour l’accès au réseau. TACACS+ est principalement utilisé pour l’administration des appareils réseau.

Vous pouvez configurer les options suivantes :

  • IP du serveur : L’adresse IP du serveur TACACS+.
  • Priorité : La priorité du serveur TACACS+. La priorité détermine quel serveur est contacté en priorité pour l’authentification lorsque vous avez plus d’un serveur TACACS+.
  • Port autorisé : Le port sur lequel le serveur communique pour l’authentification. Le port par défaut est 49.
  • Secret partagé : La clé de chiffrement configurée sur votre serveur TACACS+. Celle-ci doit correspondre exactement à votre serveur TACACS+.
  • Délai d’attente : Le délai d'attente en secondes. Le délai d'attente indique la durée de temps pendant laquelle Sophos Switch attend une réponse d'authentification avant d'essayer le prochain serveur TACACS+ dans la liste. Le nombre par défaut est 5.

Source de configuration affiche l’origine des paramètres du serveur RADIUS.

Pour créer une nouvelle entrée de serveur TACACS+, cliquez sur Ajouter.

Pour supprimer des entrées de serveur TACACS+, sélectionnez les serveurs que vous souhaitez supprimer et cliquez sur Supprimer.