Dernière
partie sur la sécurisation du protocole DHCP. Celle-ci est
clairement semblable à ARP Inspection … mais au niveau 3. Tout
comme ARP Inspection, DHCP s’il est actif, doit l’être depuis
au moins 24 heures.
Pourquoi
Source IP Adress Control ?
Un pirate
forge une adresse IP identique à celle d’un client et s’en sert
par exemple pour détourner des moyens d’authentification.
Pour
contrer cette attaque Cisco a développé Source IP Adress Control.
Initialement
tout le trafic IP est bloqué sur le port client à l’exception des
requêtes DHCP. Quand le client reçoit une adresse IP valide ou
quand celle-ci est configurée manuellement, Source IP Adress
Control génère une auto-PACL sur l’interface. Cette liste
d’accès n’autorise que le trafic provenant de l’adresse IP de
la station cliente et rejette tout le reste. On configurera cette
fonctionnalité sur les ports considères comme Untrusted par DHCP
Snooping, il est préférable de créer une PACL manuellement sur les
adresses Trusted et statiques (vers serveur ou vers routeur).
Attention,
une PACL est prioritaire sur toutes autres listes d’accès
configurées sur le commutateur.
Si aucune
adresse IP n n’est détectée, la PACP refuse tout trafic.
Configuration:
Ip
verify source
A
configurer directement sur l’interface.
En option,
configuration d’un mappage statique d’une adresse MAC et d’une
adresse IP avec un port :
Ip
source binding @MAC vlan 10 @IP interface g0/24
On
lie une adresse MAC et une adresse IP à une interface.
L’option
restante étant de créer une PACL.
Exemple de
configuration :
ip
arp inspection vlan 10
ip
arp inspection validate ip
ip
arp inspection smartlog
ip
domain-name lanwan.com
ip host
lanwan 192.168.2.2
ip
dhcp limit lease log
!
!
interface
GigabitEthernet0/1
description server
switchport
access vlan 20
ip
arp inspection trust
ip
access-group ServerDHCP in
ip
dhcp snooping trust
!
!
interface
GigabitEthernet0/24
description Client
switchport
mode access
ip
dhcp limit lease 5
ip
arp inspection limit rate 10
authentication event fail action authorize vlan
999
authentication port-control auto
dot1x
pae authenticator
ip
verify source smartlog
ip
verify source
!
ip
access-list standard ServerDHCP
permit
192.168.2.2
deny
any log
Les
différentes vérifications à effectuer :
Show
ip verify source
RadSW#sh
ip veri source
Interface
Filter-type Filter-mode IP-address Mac-address Vlan
Log
---------
----------- ----------- --------------- ----------------- ----
---
Gi0/24
ip active 192.168.1.2
10 enabled
Voilà pour
la sécurisation du protocole DHCP. En cas de questions ou remarques,
n’hésitez pas !
Bon clic a
tous !
Aucun commentaire:
Enregistrer un commentaire