Nov 15

Sécuriser DHCP_partie3

Partie 3. Déploiement de Source IP Address Control

Dernière partie sur la sécurisation du protocole DHCP. Celle-ci est clairement semblable à ARP Inspection … mais au niveau 3. Tout comme ARP Inspection, DHCP s’il est actif, doit l’être depuis au moins 24 heures.

Pourquoi Source IP Adress Control ?

Un pirate forge une adresse IP identique à celle d’un client et s’en sert par exemple pour détourner des moyens d’authentification.

Pour contrer cette attaque Cisco a développé Source IP Adress Control.
Initialement tout le trafic IP est bloqué sur le port client à l’exception des requêtes DHCP. Quand le client reçoit une adresse IP valide ou quand celle-ci est configurée manuellement, Source IP Adress Control génère une auto-PACL sur l’interface. Cette liste d’accès n’autorise que le trafic provenant de l’adresse IP de la station cliente et rejette tout le reste. On configurera cette fonctionnalité sur les ports considères comme Untrusted par DHCP Snooping, il est préférable de créer une PACL manuellement sur les adresses Trusted et statiques (vers serveur ou vers routeur).
Attention, une PACL est prioritaire sur toutes autres listes d’accès configurées sur le commutateur.
Si aucune adresse IP n n’est détectée, la PACP refuse tout trafic.

Configuration:

Ip verify source
A configurer directement sur l’interface.

En option, configuration d’un mappage statique d’une adresse MAC et d’une adresse IP avec un port :

Ip source binding @MAC vlan 10 @IP interface g0/24
On lie une adresse MAC et une adresse IP à une interface.

L’option restante étant de créer une PACL.

Exemple de configuration :

ip arp inspection vlan 10
ip arp inspection validate ip
ip arp inspection smartlog
ip domain-name lanwan.com
ip host lanwan 192.168.2.2
ip dhcp limit lease log

!
!
interface GigabitEthernet0/1
description server
switchport access vlan 20
ip arp inspection trust
ip access-group ServerDHCP in
ip dhcp snooping trust
!
!
interface GigabitEthernet0/24
description Client
switchport mode access
ip dhcp limit lease 5
ip arp inspection limit rate 10
authentication event fail action authorize vlan 999
authentication port-control auto
dot1x pae authenticator
ip verify source smartlog
ip verify source

!

ip access-list standard ServerDHCP
permit 192.168.2.2
deny any log

Les différentes vérifications à effectuer :

Show ip verify source

RadSW#sh ip veri source
Interface Filter-type Filter-mode IP-address Mac-address Vlan Log
——— ———– ———– ————— —————– —- —
Gi0/24 ip active 192.168.1.2 10 enabled

Voilà pour la sécurisation du protocole DHCP. En cas de questions ou remarques, n’hésitez pas !

Bon clic a tous !

Lien Permanent pour cet article : http://rsocisco.fr/securiser-dhcp_partie3/

Laisser un commentaire

Your email address will not be published.