Partie
2. Déploiement de ARP Inspection
Après une
première partie dédiée a la configuration de DHCP snooping, venons
en à la mise en place de ARP Inspection.
Attention,
cette fonctionnalité ne fonctionne que si la première est mise en
place sur le réseau depuis au moins 24 heures ! Ce temps est
approximatif mais vous devez être sûre que le fichier base de
données de DHCP snooping est complet.
Pourquoi
ARP Inspection ou Control selon les cas ?
Lors d’une
opération lambda de résolution ARP, un client va envoyer un
broadcast pour déterminer l’adresse MAC d’un équipement, sa
passerelle par exemple. Celle-ci va répondre au demandeur qui va
remplir son cache ARP avec ces informations.
Le pirate
va envoyer des GARP pour empoisonner la table ARP. Il peut ainsi
corrompre la table d’un switch, d’une station ou d’un routeur.
La station cliente va alors envoyer ses données dans une trame avec
pour adresse MAC de destination celle du pirate !
Pour
contrer cette attaque Cisco a développé ARP Inspection. Cette
fonctionnalité va ainsi vérifier la validité de toutes adresses
MAC transitant dans des requêtes ARP sur le réseau en se basant sur
le fichier DHCP snooping.
Comme pour
DHCP snooping, ARP Inspection se base sur la notion de port Trust
NonTrust.
En cas de
configuration d’adresse IP statique nous allons créer une liste
d’accès qui va spécifier un mapping @MAC/@IP.
Configuration:
ip arp
inspection vlan 10
Active ARP
inspection sur le vlan 10 (dans notre cas, notre vlan client)
Ip arp
inspection trust
A
configurer sur l’interface connectant le serveur DHCP ou les liens
interswitchs.
Ip arp
inspection limit
A
configurer sur les interfaces connectant les utilisateurs, on limite
le nombre de requêtes ARP par secondes, 15 par défaut. Cette
fonctionnalité aide à protéger la CONTROL PLANE de l’équipement.
En option,
configuration d’une liste d’accès :
Ip arp
inspection filter LISTE_D_ACCES vlan 10
Arp
acces-list LISTE_D_ACCES
Permit
ip host 192.168.20.3 mac host 00d4.3df4.aaf
Exemple de
configuration :
ip dhcp
snooping vlan 10
ip
dhcp snooping database flash:/DHCP.db
ip dhcp
snooping
!
!
interface
GigabitEthernet0/1
description server
switchport
access vlan 20
ip
access-group ServerDHCP in
ip
dhcp snooping trust
ip arp inspection trust
ip arp inspection trust
!
interface
GigabitEthernet0/24
description Client
switchport
mode access
ip
dhcp limit lease 5
ip arp inspection limit rate 10
ip arp inspection limit rate 10
authentication
event fail action authorize vlan 999
authentication port-control auto
dot1x
pae authenticator
Bon clic a
tous !
Aucun commentaire:
Enregistrer un commentaire