Pré-Requis
Présentation
Le DAI va nous servir a nous protéger des attaques ARP Spoofing et des Man-and-the-middle
C’est une sécurité qui permet de valider les paquets ARP dans notre réseau.
Si le DAI intercepte une trame avec une combinaison IP + MAC invalide il va :
– Intercepter la trame (intercept)
– Créer un événement (log)
– Jeter la trame (Discard)
ARP Spoofing
Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-and-the-middle.
Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-and-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent
Mise en situation :
– Notre VLAN 100 supporte le réseau 192.168.1.0 /24
– Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :
L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC.
L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC.
L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC.
…
L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC.
Résultat : Toutes les trames circulant dans notre VLAN vont être envoyées au Pirate …
Configuration
Étape 1 : Activer le DAI sur nos Vlans
Switch(config)# ip arp inspection vlan 1-100,200,300
Étape 2 : Spécifier nos équipements de confiance
Pour ce faire, deux Méthodes :
Par interface
Switch(config)# interface GigabitEthernet 0/1 Switch(config-if)# ip arp inspection trust
Par Access-list
Switch(config)# ip arp inspection vlan 100
Switch(config)# arp access-list Finger
Switch(config-acl)# permit ip host 192.168.1.1 mac host 1111.1111.1111
Switch(config-acl)# exit
Switch(config)# ip arp inspection filter Finger vlan 100
En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseau, profitez-en pour naviguer dans la barre de menu !
FingerInTheNet.com
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet
Félicitations ! Quelques commentaires :
1 – Man-AND-The-Middle, ce n’est pas répandu comme appellation. J’ai surtout entendu parler de Man-IN-The-middle (le « IN » à la place du « AND »).
2 – Le schéma parle de « DHCP Snooping Database ». J’ai de la difficulté à voir le rapport entre les deux sujets : « DHCP Snooping » et « ARP Spoofing ».
3 – Si « ip arp inspection » est déjà configuré, qu’est-ce qui se passe si le Pirate broadcast plusieurs fausses IP adresses avec sa MAC address ? Est-ce que ces adresses vont se retrouver quand-même dans la Table ARP ?
4 – Pour reproduire ce problème dans un lab. J’aimerais savoir s’il y a une commande qui permet de simuler les broadcasts du pirate ?