IP Source Guard
Auteur
Noël NICOLAS
Date
14 octobre 2017
Commentaires
1
IP Source Guard = IPSG pour les intimes 😉
DHCP Snooping = Protège notre réseau d’un Serveur DHCP non désiré.
IP Source Guard = Protège notre réseau d’un Client non désiré.
L’IP Source Guard est basé sur le DHCP Snooping. Il est donc primordial de lire cet article en amont.
Introduction
Le DHCP Snooping :
– Protège votre topologie d’un serveur DHCP malveillant.
– Créer une base de données DHCP SNOOPING DATABASE contentant les baux DHCP distribués.
Conclusion d’un point de vue sécurité
Avantage
Un pirate ne peut pas venir se connecter sur notre réseau et faire serveur DHCP
Inconvénient
Un pirate peut venir se connecter sur notre réseau et se faire passer pour un client lambda
Solution
IP Source Guard
Présentation de
IP Source Guard
Le But du jeu :
Autoriser uniquement les clients connus de notre serveur DHCP.
Nous avons quoi pour faire ça :
La DHCP Snooping Database :
SW01# show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
----------- --------------- ---------- ------------- ---- ----------
@MAC01 192.168.1.1 86400 dhcp-snooping 10 Gi0/1
@MAC02 192.168.1.2 86400 dhcp-snooping 10 Gi0/1
Total number of bindings: 2
Cas particulier :
Des clients en IP fixe (Téléphone, serveurs, imprimante, etc …)
Solution :
Prendre en référence notre DHCP Snooping Database ainsi qu’une deuxième Database avec des entrées statiques possibles :
IP Source Guard Database
L’IP Source Guard (IPSG) :
– Est basée sur le DHCP snooping binding database et les IP source bindings configurés manuellement.
– Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
– À activer sur les interfaces UNTRUSTED.
– Le Switch bloque tout le trafic IP sur l’interface ou le IP Source Guard est activé sauf pour les paquets DHCP.
– Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)
Mise en place de
IP Source Guard
ezfdfsd
Créer une entrée statique dans la Database IPSG
Switch(config)# ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]
Exemple :
– Adresse IP : 10.0.0.1
– Adresse MAC : 1111.1111.1111
– Vlan : 10
– Interface : FastEthernet 0/1
Switch(config)# ip source binding 1111.1111.1111 vlan 10 10.0.0.1 interface Fa0/1
Appliquer l’IP Source Guard
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# ip verify source
Troubleshooting
Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :
Switch# show ip verify source
Pour avoir plus de détails :
Switch# show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan] Switch# show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]
Soit :
Switch# show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 10 Switch# show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 10
La sécurité IP Source Guard est présente dans la certification CCNP SWITCH
En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseau, profitez-en pour naviguer dans la barre de menu !
FingerInTheNet.com
Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet
1 commentaire
Félicitations ! J’ai quand-même quelques commentaires.
1 – Je ne comprends pas quand tu dis, au sujet des interfaces UNTRUST : « Ils ne vont pas avoir accès au réseau … ». Tous les clients sont UNTRUST ; mais, quand ils obtiennent leur IP par DHCP, ils ont normalement accès au réseau ?
2 – Contrairement à ce que dit la section « Présentation » ; les deux dernières commandes « show ip source binding … » laissent penser qu’on peut utiliser la notion d’IP Source Guard sans activer le DHCP Snooping ?
3 – Finalement, est-ce DHCP Snooping et IP Source Guard ne sont pas deux notions complètement séparées : DHCP Snooping (contrôle du DHCP Spoofing) et IP Source Guard (contrôle de l’origine du paquet) ?