Nov 15

Sécuriser DHCP_partie2

Partie 2. Déploiement de ARP Inspection

Après une première partie dédiée à la configuration de DHCP snooping, venons en à la mise en place de ARP Inspection.
Attention, cette fonctionnalité ne fonctionne que si la première est mise en place sur le réseau depuis au moins 24 heures ! Ce temps est approximatif mais vous devez être sûre que le fichier base de données de DHCP snooping est complet.

Pourquoi ARP Inspection ou Control selon les cas ?

Lors d’une opération lambda de résolution ARP, un client va envoyer un broadcast pour déterminer l’adresse MAC d’un équipement, sa passerelle par exemple. Celle-ci va répondre au demandeur qui va remplir son cache ARP avec ces informations.
Le pirate va envoyer des GARP pour empoisonner la table ARP. Il peut ainsi corrompre la table d’un switch, d’une station ou d’un routeur. La station cliente va alors envoyer ses données dans une trame avec pour adresse MAC de destination celle du pirate !

Pour contrer cette attaque Cisco a développé ARP Inspection. Cette fonctionnalité va ainsi vérifier la validité de toutes adresses MAC transitant dans des requêtes ARP sur le réseau en se basant sur le fichier DHCP snooping.
Comme pour DHCP snooping, ARP Inspection se base sur la notion de port Trust NonTrust.
En cas de configuration d’adresse IP statique nous allons créer une liste d’accès qui va spécifier un mapping @MAC/@IP.

Configuration:

 

ip arp inspection vlan 10
Active ARP inspection sur le vlan 10 (dans notre cas, notre vlan client)

Ip arp inspection trust
A configurer sur l’interface connectant le serveur DHCP ou les liens interswitchs.

Ip arp inspection limit
A configurer sur les interfaces connectant les utilisateurs, on limite le nombre de requêtes ARP par secondes, 15 par défaut. Cette fonctionnalité aide à protéger la CONTROL PLANE de l’équipement.

En option, configuration d’une liste d’accès :

Ip arp inspection filter LISTE_D_ACCES vlan 10

Arp acces-list LISTE_D_ACCES
Permit ip host 192.168.20.3 mac host 00d4.3df4.aaf

Exemple de configuration :

ip dhcp snooping vlan 10
ip dhcp snooping database flash:/DHCP.db
ip dhcp snooping
!
!
interface GigabitEthernet0/1
description server
switchport access vlan 20
ip access-group ServerDHCP in
ip dhcp snooping trust
ip arp inspection trust

!
interface GigabitEthernet0/24
description Client
switchport mode access
ip dhcp limit lease 5
ip arp inspection limit rate 10
authentication event fail action authorize vlan 999
authentication port-control auto
dot1x pae authenticator

 

Bon clic a tous !

Lien Permanent pour cet article : http://rsocisco.fr/securiser-dhcp_partie2/

Laisser un commentaire

Your email address will not be published.