Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Dynamic ARP Inspection (DAI)

Finger In The Net

Le DAI va nous servir a nous protéger des attaques ARP Spoofing et des Man-and-the-middle. C’est une sécurité qui permet de valider les paquets ARP dans notre réseau. Si le DAI intercepte une trame avec une combinaison IP + MAC invalide il va :

  • Intercepter la trame (intercept)
  • Créer un événement (log)
  • Jeter la trame (Discard)
Dynamic ARP inspection (DAI)
Dynamic ARP inspection (DAI)
Chapitre 1

ARP spoofing

Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-in-the-middle.

Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-and-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent

Mise en situation :

  • Notre VLAN 100 supporte le réseau 192.168.1.0 /24
  • Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :
    • L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC.

Résultat : Toutes les trames circulant dans notre VLAN vont être envoyées au Pirate

Chapitre 2

Configuration du DAI

Étape 1 : Activer le DAI sur nos Vlans

Sw(config)# ip arp inspection vlan 1-100,200,300

Étape 2 : Spécifier nos équipements de confiance

Pour ce faire, il existe deux méthodes :

  • Par interface
Sw(config)# interface GigabitEthernet 0/1
Sw(config-if)# ip arp inspection trust
  • Par Access-list
Sw(config)# ip arp inspection vlan 100
Sw(config)# arp access-list Finger
Sw(config-acl)# permit ip host 192.168.1.1 mac host 1111.1111.1111
Sw(config-acl)# exit
Sw(config)# ip arp inspection filter Finger vlan 100
Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations ! Quelques commentaires :

1 – Man-AND-The-Middle, ce n’est pas répandu comme appellation. J’ai surtout entendu parler de Man-IN-The-middle (le “IN” à la place du “AND”).

2 – Le schéma parle de “DHCP Snooping Database”. J’ai de la difficulté à voir le rapport entre les deux sujets : “DHCP Snooping” et “ARP Spoofing”.

3 – Si “ip arp inspection” est déjà configuré, qu’est-ce qui se passe si le Pirate broadcast plusieurs fausses IP adresses avec sa MAC address ? Est-ce que ces adresses vont se retrouver quand-même dans la Table ARP ?

4 – Pour reproduire ce problème dans un lab. J’aimerais savoir s’il y a une commande qui permet de simuler les broadcasts du pirate ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

quatre × un =

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

LA BOUTIQUE
DES GEEKS