Les commutateurs Cisco Nexus offrent des performances exceptionnelles, mais nécessitent une configuration de sécurité rigoureuse pour prévenir les compromissions internes, les attaques par déni de service et les élévations de privilèges. Ce guide propose un durcissement avancé de l’environnement NX-OS à travers le contrôle du plan de gestion, les ACLs matérielles, le contrôle des rôles (RBAC) et la protection du plan de contrôle (CoPP).
1. Création de rôles administratifs restreints (RBAC)
role name rbac-ops
description Accès restreint aux commandes réseau
rule 10 permit command show
rule 20 permit command ping
rule 30 deny command configurePermet de limiter les privilèges en CLI ou API selon des profils métiers (NOC, DevOps, support, etc.).
2. Filtrage des accès SSH et HTTPS via ACL
ip access-list mgmt_acl
10 permit ip host 192.168.1.10 any
20 deny ip any any loginterface mgmt0
ip access-group mgmt_acl inRestreint l’accès au plan de gestion aux seules IP autorisées (bastion, supervision).
3. Configuration de CoPP (Control Plane Policing)
class-map type control-plane match-any SSH-TRAFFIC
match access-group name ssh_acl
policy-map type control-plane copp-policy
class SSH-TRAFFIC
police cir 1000000 bc 31250
conform-action transmit
exceed-action dropProtège la CPU du switch contre des attaques volumétriques ciblant le plan de contrôle (SSH, BGP, OSPF, etc.).
4. Désactivation des protocoles inutilisés
no cdp run
no lldp run
no ip http server
no ip redirectRéduit la surface d’attaque en désactivant les services non exploités par l’organisation.
5. Protection ARP et DHCP spoofing (Dynamic ARP Inspection)
ip arp inspection vlan 100
ip dhcp snooping vlan 100
ip dhcp snooping trust interface Ethernet1/1Active les protections contre les attaques de type MITM sur les VLAN utilisateurs.
6. Activation du logging sécurisé
logging server 10.10.10.50 514 use-vrf management
logging level all 5
logging source-interface mgmt0Permet de tracer toutes les actions d’administration et de sécurité, exportées vers un SIEM centralisé.
7. Audit de configuration périodique avec Python (NX-API)
import requests
payload = {
"ins_api": {
"version": "1.0",
"type": "cli_show",
"chunk": "0",
"sid": "1",
"input": "show run | include password|secret",
"output_format": "json"
}
}
response = requests.post("https://10.0.0.1/ins", json=payload, verify=False, auth=("admin", "admin"))
print(response.json())Script d’inspection automatique des configurations sensibles et recherche d’erreurs ou pratiques à risque.
Conclusion
Durcir un switch Cisco Nexus est une opération stratégique en datacenter. En combinant contrôle des accès, limitation des protocoles, CoPP, ACLs et audit, on obtient une infrastructure réseau robuste, conforme et résistante aux attaques internes et externes.
