Created by potrace 1.10, written by Peter Selinger 2001-2011
Created by potrace 1.10, written by Peter Selinger 2001-2011
Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

Dynamic ARP Inspection (DAI)

Finger In The Net

Le DAI va nous servir a nous protéger des attaques ARP Spoofing et des Man-and-the-middle. C’est une sécurité qui permet de valider les paquets ARP dans notre réseau. Si le DAI intercepte une trame avec une combinaison IP + MAC invalide il va :

  • Intercepter la trame (intercept)
  • Créer un événement (log)
  • Jeter la trame (Discard)
Dynamic ARP inspection (DAI)
Dynamic ARP inspection (DAI)
Chapitre 1

ARP spoofing

Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-in-the-middle.

Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-and-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent

Mise en situation :

  • Notre VLAN 100 supporte le réseau 192.168.1.0 /24
  • Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :
    • L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC.

Résultat : Toutes les trames circulant dans notre VLAN vont être envoyées au Pirate

Chapitre 2

Configuration du DAI

Étape 1 : Activer le DAI sur nos Vlans

Sw(config)# ip arp inspection vlan 1-100,200,300

Étape 2 : Spécifier nos équipements de confiance

Pour ce faire, il existe deux méthodes :

  • Par interface
Sw(config)# interface GigabitEthernet 0/1
Sw(config-if)# ip arp inspection trust
  • Par Access-list
Sw(config)# ip arp inspection vlan 100
Sw(config)# arp access-list Finger
Sw(config-acl)# permit ip host 192.168.1.1 mac host 1111.1111.1111
Sw(config-acl)# exit
Sw(config)# ip arp inspection filter Finger vlan 100
Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations ! Quelques commentaires :

1 – Man-AND-The-Middle, ce n’est pas répandu comme appellation. J’ai surtout entendu parler de Man-IN-The-middle (le “IN” à la place du “AND”).

2 – Le schéma parle de “DHCP Snooping Database”. J’ai de la difficulté à voir le rapport entre les deux sujets : “DHCP Snooping” et “ARP Spoofing”.

3 – Si “ip arp inspection” est déjà configuré, qu’est-ce qui se passe si le Pirate broadcast plusieurs fausses IP adresses avec sa MAC address ? Est-ce que ces adresses vont se retrouver quand-même dans la Table ARP ?

4 – Pour reproduire ce problème dans un lab. J’aimerais savoir s’il y a une commande qui permet de simuler les broadcasts du pirate ?

Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

quatre × un =

LA BOUTIQUE
DES GEEKS

Voir la boutique

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

CHAPITRE 2 :

La partie Switching

CHAPITRE 3 :

La partie ROUTING

CHAPITRE 4 :

Les services

CHAPITRE 5 :

La sécurité

CHAPITRE 6 :

Les VPNs

CHAPITRE 7 :

Spanning-Tree

LA BOUTIQUE
DES GEEKS

Guide de configuration CISCO

Ajouter au panier