Sécuriser DHCP Partie 3

Partie 3. Déploiement de Source IP Address Control

Dernière partie sur la sécurisation du protocole DHCP. Celle-ci est clairement semblable à ARP Inspection … mais au niveau 3. Tout comme ARP Inspection, DHCP s’il est actif, doit l’être depuis au moins 24 heures.

Pourquoi Source IP Adress Control ?

Un pirate forge une adresse IP identique à celle d’un client et s’en sert par exemple pour détourner des moyens d’authentification.

Pour contrer cette attaque Cisco a développé Source IP Adress Control.

Initialement tout le trafic IP est bloqué sur le port client à l’exception des requêtes DHCP. Quand le client reçoit une adresse IP valide ou quand celle-ci est configurée manuellement, Source IP Adress Control génère une auto-PACL sur l’interface. Cette liste d’accès n’autorise que le trafic provenant de l’adresse IP de la station cliente et rejette tout le reste. On configurera cette fonctionnalité sur les ports considères comme Untrusted par DHCP Snooping, il est préférable de créer une PACL manuellement sur les adresses Trusted et statiques (vers serveur ou vers routeur).

Attention, une PACL est prioritaire sur toutes autres listes d’accès configurées sur le commutateur.

Si aucune adresse IP n n’est détectée, la PACP refuse tout trafic.

Configuration:

Ip verify source

A configurer directement sur l’interface.

En option, configuration d’un mappage statique d’une adresse MAC et d’une adresse IP avec un port :

Ip source binding @MAC vlan 10 @IP interface g0/24

On lie une adresse MAC et une adresse IP à une interface.

L’option restante étant de créer une PACL.

Exemple de configuration :

ip arp inspection vlan 10

ip arp inspection validate ip

ip arp inspection smartlog

ip domain-name lanwan.com

ip host lanwan 192.168.2.2

ip dhcp limit lease log

!

!

interface GigabitEthernet0/1

description server

switchport access vlan 20

ip arp inspection trust

ip access-group ServerDHCP in

ip dhcp snooping trust

!

!

interface GigabitEthernet0/24

description Client

switchport mode access

ip dhcp limit lease 5

ip arp inspection limit rate 10

authentication event fail action authorize vlan 999

authentication port-control auto

dot1x pae authenticator

ip verify source smartlog

ip verify source

!

ip access-list standard ServerDHCP

permit 192.168.2.2

deny any log

Les différentes vérifications à effectuer :

Show ip verify source

RadSW#sh ip veri source

Interface Filter-type Filter-mode IP-address Mac-address Vlan Log

--------- ----------- ----------- --------------- ----------------- ---- ---

Gi0/24 ip active 192.168.1.2 10 enabled

Voilà pour la sécurisation du protocole DHCP. En cas de questions ou remarques, n’hésitez pas !

Bon clic a tous !