Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

IP Source Guard

Finger In The Net

IP Source Guard = IPSG pour les intimes 😉

DHCP Snooping = Protège notre réseau d’un Serveur DHCP non désiré.
IP Source Guard = Protège notre réseau d’un Client non désiré.

L’IP Source Guard est basé sur le DHCP Snooping. Ce dernier : 

  • Protège votre topologie d’un serveur DHCP malveillant.
  • Créer une base de données DHCP SNOOPING DATABASE contentant les baux DHCP distribués.

Conclusion d’un point de vue sécurité :

  • Avantage : Un pirate ne peut pas venir se connecter sur notre réseau et faire serveur DHCP
  • Inconvénient : Un pirate peut venir se connecter sur notre réseau et se faire passer pour un client lambda
  • Solution : IP Source Guard
Chapitre 1

Présentation de l'IP Source Guard

L’IP Source Guard permet d’autoriser uniquement les clients connus de notre serveur DHCP. Pour se faire, il va se baser sur la DHCP Snooping Database :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 2
  • Cas particulier : Des clients en IP fixe (Téléphone, serveurs, imprimante, etc …)
  • Solution :  Prendre en référence notre DHCP Snooping Database ainsi qu’une deuxième Database avec des entrées statiques possibles :

IP Source Guard Database

IP source guard
IP Source Guard

L’IP Source Guard  (IPSG) :

  • Est basée sur le DHCP snooping binding database et les IP source bindings configurés manuellement.
  • Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
  • À activer sur les interfaces UNTRUSTED.
  • Le Switch bloque tout le trafic IP sur l’interface ou le IP Source Guard est activé sauf pour les paquets DHCP.
  • Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)
Où mettre en place l'IP Source Guard
Où mettre en place l’IP Source Guard
Chapitre 2

Mise en place de l'IP Source Guard

Créer une entrée statique dans la Database IPSG

Sw(config)# ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]

Exemple :

Sw(config)# ip source binding 1111.1111.1111 vlan 10 10.0.0.1 interface Fa0/1

Appliquer l’IP Source Guard

Sw(config)# interface FastEthernet 0/1
Sw(config-if)# ip verify source
Chapitre 3

Vérification

Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :

Sw# show ip verify source

Pour avoir plus de détails :

Sw# show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan]
Sw# show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]

Soit :

Sw# show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 10
Sw# show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 10

La sécurité IP Source Guard est présente dans la certification CCNP SWITCH

 

Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations ! J’ai quand-même quelques commentaires.

1 – Je ne comprends pas quand tu dis, au sujet des interfaces UNTRUST : “Ils ne vont pas avoir accès au réseau …”. Tous les clients sont UNTRUST ; mais, quand ils obtiennent leur IP par DHCP, ils ont normalement accès au réseau ?

2 – Contrairement à ce que dit la section “Présentation” ; les deux dernières commandes “show ip source binding …” laissent penser qu’on peut utiliser la notion d’IP Source Guard sans activer le DHCP Snooping ?

3 – Finalement, est-ce DHCP Snooping et IP Source Guard ne sont pas deux notions complètement séparées : DHCP Snooping (contrôle du DHCP Spoofing) et IP Source Guard (contrôle de l’origine du paquet) ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

15 + 20 =

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

LA BOUTIQUE
DES GEEKS