Created by potrace 1.10, written by Peter Selinger 2001-2011
Created by potrace 1.10, written by Peter Selinger 2001-2011
Finger in the net
Blog d'administration réseau
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Created by potrace 1.10, written by Peter Selinger 2001-2011

IP Source Guard

Finger In The Net

IP Source Guard = IPSG pour les intimes 😉

DHCP Snooping = Protège notre réseau d’un Serveur DHCP non désiré.
IP Source Guard = Protège notre réseau d’un Client non désiré.

L’IP Source Guard est basé sur le DHCP Snooping. Ce dernier : 

  • Protège votre topologie d’un serveur DHCP malveillant.
  • Créer une base de données DHCP SNOOPING DATABASE contentant les baux DHCP distribués.

Conclusion d’un point de vue sécurité :

  • Avantage : Un pirate ne peut pas venir se connecter sur notre réseau et faire serveur DHCP
  • Inconvénient : Un pirate peut venir se connecter sur notre réseau et se faire passer pour un client lambda
  • Solution : IP Source Guard
Chapitre 1

Présentation de l'IP Source Guard

L’IP Source Guard permet d’autoriser uniquement les clients connus de notre serveur DHCP. Pour se faire, il va se baser sur la DHCP Snooping Database :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 2
  • Cas particulier : Des clients en IP fixe (Téléphone, serveurs, imprimante, etc …)
  • Solution :  Prendre en référence notre DHCP Snooping Database ainsi qu’une deuxième Database avec des entrées statiques possibles :

IP Source Guard Database

IP source guard
IP Source Guard

L’IP Source Guard  (IPSG) :

  • Est basée sur le DHCP snooping binding database et les IP source bindings configurés manuellement.
  • Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
  • À activer sur les interfaces UNTRUSTED.
  • Le Switch bloque tout le trafic IP sur l’interface ou le IP Source Guard est activé sauf pour les paquets DHCP.
  • Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)
Où mettre en place l'IP Source Guard
Où mettre en place l’IP Source Guard
Chapitre 2

Mise en place de l'IP Source Guard

Créer une entrée statique dans la Database IPSG

Sw(config)# ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]

Exemple :

Sw(config)# ip source binding 1111.1111.1111 vlan 10 10.0.0.1 interface Fa0/1

Appliquer l’IP Source Guard

Sw(config)# interface FastEthernet 0/1
Sw(config-if)# ip verify source
Chapitre 3

Vérification

Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :

Sw# show ip verify source

Pour avoir plus de détails :

Sw# show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan]
Sw# show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]

Soit :

Sw# show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 10
Sw# show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 10

La sécurité IP Source Guard est présente dans la certification CCNP SWITCH

 

Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Comments (1)

Félicitations ! J’ai quand-même quelques commentaires.

1 – Je ne comprends pas quand tu dis, au sujet des interfaces UNTRUST : “Ils ne vont pas avoir accès au réseau …”. Tous les clients sont UNTRUST ; mais, quand ils obtiennent leur IP par DHCP, ils ont normalement accès au réseau ?

2 – Contrairement à ce que dit la section “Présentation” ; les deux dernières commandes “show ip source binding …” laissent penser qu’on peut utiliser la notion d’IP Source Guard sans activer le DHCP Snooping ?

3 – Finalement, est-ce DHCP Snooping et IP Source Guard ne sont pas deux notions complètement séparées : DHCP Snooping (contrôle du DHCP Spoofing) et IP Source Guard (contrôle de l’origine du paquet) ?

Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

15 + 20 =

LA BOUTIQUE
DES GEEKS

Voir la boutique

CURSUS DE FORMATION

CHAPITRE 1 :

Les bases du réseau

CHAPITRE 2 :

La partie Switching

CHAPITRE 3 :

La partie ROUTING

CHAPITRE 4 :

Les services

CHAPITRE 5 :

La sécurité

CHAPITRE 6 :

Les VPNs

CHAPITRE 7 :

Spanning-Tree

LA BOUTIQUE
DES GEEKS

Guide de configuration CISCO

Ajouter au panier