sur Commutateurs de couche 3

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Dar Es Salaam Routage Statique Jean Robert Hountomey.
Catalyst 500E - Réinitialisation avec les Paramètres usine
show ip dhcp server statistics
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
LAN Médias cch_ccnp.
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
basé sur le port - Catalyst 3550
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Comprendre la politique
PIX/ASA - Configuration Serveur et Client DHCP
de listes d'accès filtres
Cisco Catalyst 3550 Configuration IGMP Snooping & MVR
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
OSPF - Configuration initiale sur Liaisons Non-Broadcast
HSRP (Hot Standby Routing Protocol)
Types et Codes de paquet ICMPv6
Spanning-Tree classique
TP - Spanning-Tree - Per-VLAN Spanning-tree
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Sécurité - Configuration de l'autorisation d'Applets Java
Routage S 5 - Questionnaire N°1
Proxy ARP ccnp_cch ccnp_cch.
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
CCNP Routage Chapitre 7 - Questionnaire N°1
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
interfaces de couche 3 Commutateur Catalyst 4006
Commande show dialer ccnp_cch ccnp_cch.
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
Commande show vtp ccnp_cch ccnp_cch.
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
(Switch Database Management)
QoS - Configuration Fragmentation
QoS - Configuration de COPS pour RSVP
Configuration de VLANs Contrôleur LAN sans-fil
Les protocoles de la couche application Chapitre 7.
Sécurisation de l'accès au matériel
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

sur Commutateurs de couche 3 Configuration - Fonctions de Sécurité de Couche 2 sur Commutateurs de couche 3 à configuration fixe ccnp_cch

Sommaire • Introduction - Composants utilisés - Produits liés • Rappel • Configuration - Schéma du réseau - Sécurité de port - DHCP snooping - Inspection ARP dynamique - IP Source Guard ccnp_cch

Introduction Ce document décrit fournit un exemple de configuration pour quelques fonctionnalités de sécurité de couche 2 telles que la sécurité de port, DHCP Snooping, l'inspection ARP (Address Resolution Protocol) et IP Source Guard qui peuvent être implémentées sur des commutateurs Cisco Catalyst de couche 3 à configuration fixe. Composants utilisés Les informations présentées dans de document sont basées sur le commutateur Cisco Catalyst 3750 avec la version logicielle 12.2(25)SEC2. Produits liés Cette configuration peut également être utilisée avec ces matériels:  Commutateurs Cisco Catalyst Série 3550  Commutateurs Cisco Catalyst Série 3560  Commutateurs Cisco Catalyst Série 3560-E  Commutateurs Cisco Catalyst Série 3750-E Rappel De manière similaire aux routeurs, les commutateurs de couche 2 et de couche 3 ont leurs propres ensembles d'exigence de sécurité. Les commutateurs sont susceptibles de subir les mêmes attaques de couche 3 que les routeurs. Toutefois les commutateurs et la couche 2 du modèle OSI en général sont sujet à différents types d'attaques. Ceci inclut:  Débordement de la table CAM (Content Addressable Memory) Les tables CAM (Content Addressable Memory) ont une taille limitée. Si beaucoup d'informations sont entrées dans la table CAM avant que les précédentes expirent, la table CAM se remplit à tel point que les nouvelles entrées ne peuvent plus être acceptées. Typiquement, un intrus réseau inonde le commutateur avec un grand nombre d'adresses MAC (Media Access Control) source invalides jusqu'à ce que la table MAC soit remplie. Quand ceci se produit, le commutateur inonde les ports avec le trafic entrant car il ne car il ne peut trouver le numéro de port pour cette adresse source particulière dans la table CAM. Le commutateur à ce moment là agit comme un hub. Si l'intrus ne maintient pas l'inondation avec des adresses MAC source invalides, le commutateur fait expirer les anciennes entrées d'adresses MAC de la table CAM et recommence à agir comme un commutateur. Le débordement de de la table CAM inonde de trafic le VLAN local car l'intrus voit uniquement le trafic du VLAN local auquel il est connecté. L'attaque de débordement de la table CAM peut être tempéré en configurant la sécu- rité de port sur le commutateur. Cette option fournit la spécification des adresses MAC sur un port particulier du commutateur soit le nombre maximum d'adresses MAC pouvant être apprises sur un port du commutateur. Quand une adresse MAC invalide est apprise sur un port, le commutateur peut soit bloquer l'adresse MAC ccnp_cch

interdite ou bloquer le port interdite ou bloquer le port. La spécification d'adresses MAC sur un port n'est pas une solution admissible dans un environnement de production. Une limite du nom- bre d'adresses MAC sur un port est admissible. Une solution d'administration plus évolutive est l'implémentation de la sécurité de port dynamique sur un commuta- teur. Pour implémenter la sécurité de port dynamique, spécifiez un nombre maxi- mum d'adresses MAC apprises.  Spoofing d'adresse MAC Les attaques de spoofing d'adresse MAC (Medium Access Control) comprennent l'uti- lisation de l'adresses MAC connue d'un autre host pour tenter de faire en sorte que le commutateur cible achemine les trames destinées au host distant vers le réseau de l'attaquant. Quand une trame unique est transmise vers l'adresse Ethernet sour- ce de l'autre host, l'attaquant réseau écrase l'entrée de la table CAM ainsi le commu- tateur achemine les paquets destinés au host vers le réseau de l'attaquant. Jusqu'à ce que le host transmette du trafic, celui-ci ne recevra aucun trafic. Quand le host transmet du trafic, l'entrée de la table CAM est réécrite une fois de plus revenant ainsi au port original. Utilisez la fonctionnalité de sécurité de port pour tempérer les attaques d'usurpation d'adresse MAC. La sécurité de port donne la capacité de spécifier l'adresse MAC du système connecté à un port particulier. Cela fournit également la capacité de spéci- fier une action à prendre si une violation de sécurité se produit.  Usurpation ARP (Address Resolution Protocol) ARP est utilisé pour faire la correspondance entre une adresse IP et une adresse MAC sur un segment local où les hosts résident sur le même sous-réseau. Normale- ment un host transmet une requête ARP broadcast pour trouver l'adresse MAC d'un autre host avec l'adresse IP de ce host et une réponse ARP est faite par le host dont l'adresse IP correspond. Le host qui a fait la requête place la réponse dans le cache ARP. Dans le protocole ARP une autre possibilité est donnée aux hosts de faire des réponses ARP non-sollicitées. Ces réponses non-sollicitées sont appelées GARP ou Gratuitous ARP. GARP peut être exploité de manière malicieuse par un attaquant pour usurper une adresse IP sur un segment LAN. Cette attaque est typiquement utilisée pour usurper l'identité entre deux hosts où tout le trafic de ou vers la passe- relle par défaut par une attaque du type "man-in-the-middle". Quand une réponse ARP est subtilisée, un attaquant peut faire apparaître son sys- tème comme la destination pour le transmetteur. La réponse ARP fait que le trans- metteur stocke l'adresse MAC du système réseau attaquant dans son cache ARP. Cette adresse MAC est également stockée par le commutateur dans sa table CAM. De cette manière, l'attaquant réseau a inséré l'adresse MAC de son système dans la table CAM du commutateur et dans le cache ARP de l'émetteur. Ceci permet à l'atta- quant réseau d'intercepter les trames destinées au host dont il a usurpé l'adresse. Des timers de maintien dans le menu de configuration interface peuvent être utilisés pour tempérer les attaques d'usurpation d'adresse ARP en fixant la durée pendant laquelle une entrée ARP reste dans le cache. Toutefois les timers de maintien par eux-mêmes sont insuffisants. La modification du temps d'expiration du cache ARP sur tous les systèmes d'extrémité est requise comme pour les entrées ARP statiques. ccnp_cch

Une autre solution qui peut être utilisée pour tempérer les diverses exploitations ma- licieuses basées sur ARP est d'utiliser la surveillance DHCP ainsi que l'inspection ARP dynamique. Ces fonctionnalités des commutateurs Catalyst valident les paquets ARP dans un réseau et permettent d'intercepter, de logguer et d'ignorer les paquets ARP avec des liens adresses MAC et adresses IP invalides. La surveillance DHCP filtre les messages DHCP de confiance pour fournir la sécurité. Par la suite ces messages sont utilisés pour construire et maintenir une table de sur- veillance DHCP. La surveillance DHCP considère que les messages DHCP qui sont issus de ports utilisateurs qui ne sont pas des ports de serveurs DHCP sont non fia- bles. Du point de vue de la surveillance DHCP, ces ports utilisateurs non fiables ne doivent pas transmettre de réponse de type serveur DHCP telles que DHCPOFFER, DHCPACK ou DHCPNAK. La table de liens de surveillance DHCP les informations d'adresses MAC, d'adresses IP , de durée de bail, de type de bail, de numéro de Vlan et d'interface qui correspondent aux interfaces locales non fiables d'un commutateur. La table de liens de surveillance DHCP ne contient aucune information sur les hosts connectés avec des interfaces fiables. Une interface non fiable est une interface con- figurée pour recevoir des messages venant de l'extérieur du réseau ou d'un pare-feu. Une interface fiable ou de confiance est une interface configurée pour recevoir des messages issus de l'intérieur du réseau. La table de liens de surveillance DHCP peut contenir des liens d'adresses MAC dynamiques et statiques et des adresses IP. L'inspection ARP dynamique détermine la validité d'un paquet ARP sur la base de liens adresse MAC avec adresse IP valides stockés dans la base de données de sur- veillance DHCP. De plus l'inspection ARP dynamique peut valider des paquets ARP sur la base de listes d'accès utilisateur configurables. Ceci permet l'inspection de paquets ARP pour des hosts qui utilisent des adresses IP statiques. L'inspection ARP dynamique autorise l'utilisation de listes de contrôle d'accès par port et Vlan (PACL) pour limiter les paquets ARP pour des adresses IP spécifiques vers des adresses MAC spécifiques.  Epuisement d'adresses DHCP Une attaque d'épuisement d'adresses DHCP fonctionne avec du broadcast de requête DHCP avec des adresses MAC usurpées. Si un nombre suffisant de requêtes est fait, l'attaquant réseau peut épuiser l'espace d'adresses disponibles sur le serveur DHCP pendant une période donnée. L'attaquant réseau peut ensuite mettre en service un serveur DHCP non autorisé de son système et répondre aux nouvelles requêtes DHCP venant des clients sur le réseau. Avec l'introduction d'un serveur DHCP non autorisé, un attaquant peut fournir aux clients des adresses et d'autres informations réseau. comme les réponses DHCP contiennent de manière typique l'adresse de la passerelle par défaut et l'adresse du serveur DNS, l'attaquant peut indiquer que son propre système est la passerelle par défaut et le serveur DNS. Ceci correspond à une attaque du type "man-in-the-middle". Toutefois il n'est pas nécessaire d'avoir un épuisement d'adresses DHCP pour introduire un serveur DHCP non-autorisé. Des fonctionnalités supplémentaires dans la famille des commutateurs Catalyst telle que la surveillance DHCP peuvent être utilisées pour aider à se prémunir contre des attaques d'épuisement d'adresses DHCP. La surveillance DHCP est une fonctionnali- té de sécurité qui filtre les messages DHCP non fiables pour construire et maintenir une table de surveillance DHCP. La table de liens de surveillance DHCP les informa- tions d'adresses MAC, d'adresses IP , de durée de bail, de type de bail, de numéro de ccnp_cch

Vlan et d'interface qui correspondent aux interfaces locales non fiables d'un commu- tateur. Les messages non fiables sont ceux reçus de l'extérieur du réseau ou du pa- re-feu. Les interfaces non fiables du commutateur sont celles configurées pour rece- voir de tels messages de l'extérieur du réseau ou du pare-feu. D'autres fonctionnalités des commutateurs Catalyst, telle que IP source guard, peu- vent fournir une défense supplémentaire contre des attaques telles que l'épuisement d'adresses IP et l'usurpation IP. Similaire à la surveillance DHCP, IP source guard est validé sur les ports de couche 2 non fiables. Tout le trafic IP est initialement blo- qué sauf pour les paquets DHCP capturés par le processus de surveillance DHCP. Une fois qu'un client a reçu une adresse IP valide du serveur DHCP, une PACL est appliquée à ce port. Cela restreint le trafic du client Ip à ces adresses IP configurées dans le lien. Tout trafic IP avec des adresses source différentes de celles présentes dans les liens sont filtrées. Configuration Dans cette section sont présentées les informations nécessaires pour la configuration des fonctionnalités de sécurité Port Security, surveillance DHCP, Inspection ARP dyna- mique et IP source Guard. La configuration du Catalyst 3750 contient:  Port Security  DHCP Snooping  Dynamic ARP Inspection  IP Source Guard Schéma du réseau Ce document utilise ces paramètres :  PC1 et PC3 sont des clients connectés au commutateur  PC2 est un serveur DHCP connecté au commutateur  Tous les ports du commutateur sont dans le même Vlan (VLAN 1)  Le serveur DHCP est configuré pour affecter des adresses aux clients sur la base de leurs adresses MAC. PC1 PC2 Fa1/0/1 Fa1/0/3 Non Fiable Fiable Client 10.0.0.2/8 Fa1/0/2 Serveur DHCP 10.0.0.1/8 Non Fiable Client 10.0.0.3/8 PC3 ccnp_cch

ccnp_cch Port Security Vous pouvez utiliser la fonctionnalité "Port security" pour limiter et identifier les adres- ses MAC des stations autorisées à accéder au port. Ceci restreint l'entrée sur une in- terface. Quand vous affectez une adresse MAC sécurisée à un port sécurisé, ce port n'achemine pas les trames avec des adresses source en dehors du groupe d'adresses prédéfini. Si vous limitez le nombre d'adresse MAC sécurisée à une seule et que vous affectez une seule adresses MAC sécurisée, la station attachée à ce port est assurée d'avoir la totalité de la bande passante de ce port. Si un port est configuré comme port sécurisé et que le nombre maximum d'adresses MAC sécurisées est atteint et que l'adresse MAC d'une station qui tente d'accéder au port est différente des adresses source sécurisées identifiées une violation de sécurité se produit. Ainsi si une station avec une adresse MAC sécurisée configurée ou apprise sur un port sécurisé tente d'ac- céder à un autre port sécurisé , une violation de sécurité est renseignée. Par défaut le port se bloque quand le nombre maximum d'adresses MAC sécurisées est dépassé. Note: Quand un commutateur Catalyst 3750 rejoint une pile, le nouveau commutateur reçoit les adresses. Toutes les adresses dynamiques sécurisées sont téléchargées par le nouveau membre de la pile à partir des autres membres de la pile. Ici la configuration indique que la fonctionnalité de sécurité port est configurée sur l'interface FastEhternet1/0/2. Par défaut, le nombre maximum d'adresses MAC sécu- risées pour l'interface est un. Vous pouvez entrez la commande show port-security interface pour vérifier la sécurité de port sur une interface. Port Security Cat3750#show port−security interface fastEthernet 1/0/2 Port Security : Disabled Port Status : Secure−down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 !−−− Configuration de Port security par défaut du commutateur. Cat3750#conf t Enter configuration commands, one per line. End with CNTL/Z. Cat3750(config)#interface fastEthernet 1/0/2 Cat3750(config−if)#switchport port−security Command rejected: FastEthernet1/0/2 is a dynamic port. !−−− Port security peut être configuré uniquement sur des ports !--- d'accès statiques ou des ports ccnp_cch

ccnp_cch Cat3750(config−if)#switchport mode access !−−− Fixe l'interface en mode port d'accès. Cat3750(config−if)#switchport port−security !−−− Valide Port security sur l'interface. Cat3750(config−if)#switchport port−security mac−address 0011.858D.9AF9 !−−− Fixe l'adresse MAC sécurisée pour l'interface. Cat3750(config−if)#switchport port−security violation shutdown !−−− Fixe le mode de violation à shutdown. C'est le mode par !--- défaut. Cat3750# !−−− Un autre PC (PC 4) est connecté au port FastEthernet !--- 1/0/2 Pour vérifier la fonctionnalité port security. 00:22:51: %PM−4−ERR_DISABLE: psecure−violation error detected on Fa1/0/2, putting Fa1/0/2 in err−disable state 00:22:51: %PORT_SECURITY−2−PSECURE_VIOLATION: Security violation occurred,caused by MAC address 0011.8565.4B75 on port FastEthernet1/0/2. 00:22:52: %LINEPROTO−5−UPDOWN: Line protocol on Interface FastEthernet1/0/2, changed state to down 00:22:53: %LINK−3−UPDOWN: Interface FastEthernet1/0/2, changed state to down !−−− L'interface se bloque quand une violation de sécurité est !--- détectée. Cat3750#show interfaces fastEthernet 1/0/2 FastEthernet1/0/2 is down, line protocol is down (err−disabled) !−−− Partie supprimée. !−−− Le port est affiché error−disabled. Ceci permet de confirmer !--- que la configuration est correcte. !−−− Note: Quand un port sécurisé est dans l'état error−disabled, !−−− vous pouvez le sortir de cet état en entrant la commande !−−− errdisable recovery cause psecure−violation en mode de !--- configuration global, ou vous pouvez le revalider !--- manuellement en entrant les commandes shutdown et !--- no shutdown en mode de configuration interface. ccnp_cch

ccnp_cch Cat3750#show port−security interface fastEthernet 1/0/2 Port Security : Enabled Port Status : Secure−shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0011.8565.4B75:1 Security Violation Count : 1 DHCP Snooping La surveillance DHCP agit comme un pare-feu entre des hosts non fiables et des ser- veurs DHCP. Vous utilisez la surveillance DHCP pour faire la différence entre les inter- faces non fiables connectées à des utilisateurs et des interfaces fiables connectées à des serveurs DHCP ou à un autre commutateur. Quand un commutateur reçoit un pa- quet sur une interface non fiable et l'interface appartient à un VLAN qui a la surveillan- ce DHCP validée, le commutateur compare l'adresse source MAC et le l'adresse "hard- ware" du client DHCP. Si l'adresse correspond (cas normal), le commutateur achemine le paquet. Si les adresses ne correspondent pas le commutateur élimine le paquet. Le commutateur élimine un paquet DHCP quand une de ces situations se produit:  Un paquet issu d'un serveur DHCP tel que DHCPOFFER, DHCACK, DHCPNAK ou DHCPLEASEQUERY est reçu de l'extérieur du réseau ou d'un pare-feu.  Un paquet est reçu sur une interface non fiable et l'adresse MAC source et l'adresse "hardware" du client DHCP ne correspondent pas.  Le commutateur reçoit un message broadcast DHCPRELEASE ou DHCPDECLINE qui a une adresse MAC dans la base de données des liens de surveillance DHCP mais l'information d'interface de la base de données des liens de surveillance ne cor- respond pas à l'interface sur laquelle le message a été reçu.  Un agent relais DHCP achemine un paquet DHCP qui contient une adresse IP agent relais qui n'est pas 0.0.0.0 ou l'agent relais achemine un paquet qui contient l'option 82 vers un port non fiable. Note: Pour que la surveillance DHCP fonctionne correctement, tous les serveurs DHCP doivent être connectés au commutateurs par des interface fiables ou de confiance. Note: Dans une pile de commutateurs avec des commutateurs Catalyst 3750, la sur- veillance DHCP est gérée par le maître de la pile. Quand un nouveau commutateur re- joint la pile, le commutateur reçoit l'information de configuration de surveillance DHCP du maître de la pile. Quand un membre quitte la pile, tous les liens de surveillance DHCP associés à ce commutateur expirent. ccnp_cch

Note: Pour s'assurer que la durée de bail dans la base de données est fiable, Cisco re- commande que vous validiez et configuriez NTP. Si NTP est configuré, le commutateur écrit les modifications de lien dans le fichier des liens uniquement lorsque l'horloge système est synchronisée avec NTP. L'action des serveurs DHCP non autorisés peut être bloquée par la fonctionnalité de surveillance DHCP (DHCP Snooping). La commande ip dhcp snooping est entrée pour valider DHCP globalement sur le commutateur. Quand ils sont configurés avec DHCP snooping, tous les ports dans un VLAN sont non fiables pour des réponses DHCP. Ici seule l'interface FastEthernet 1/0/3 connectée au serveur DHCP est configurée comme fiable ou de confiance. DHCP Snooping Cat3750#conf t Enter configuration commands, one per line. End with CNTL/Z. Cat3750(config)#ip dhcp snooping !−−− Valide DHCP snooping sur le commutateur. Cat3750(config)#ip dhcp snooping vlan 1 !−−− DHCP snooping n'est pas actif tant qu'il n'est pas validé sur !--- un VLAN. Cat3750(config)#no ip dhcp snooping information option !−−− Dévalide l'insertion ou le retrait du champ option−82, si les !−−− clients DHCP et le serveur DHCP résident sur le même réseau ou !--- sous-réseau IP. Cat3750(config)#interface fastEthernet 1/0/3 Cat3750(config−if)#ip dhcp snooping trust !−−− Configure l'interface connectée au serveur DHCP comme fiable ou !--- de confiance. Cat3750#show ip dhcp snooping Switch DHCP snooping is enabled DHCP snooping is configured on following VLANs: 1 Insertion of option 82 is disabled Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled Interface Trusted Rate limit (pps) −−−−−−−−−−−−−−−−−−−−−−−− −−−−−−− −−−−−−−−−−−−−−−− FastEthernet1/0/3 yes unlimited !−−− Affiche la configuration DHCP snooping pour le commutateur. ccnp_cch

ccnp_cch Inspection ARP dynamique Cat3750#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface −−−−−−−−−−−−−−−−−− −−−−−−−−−−−−−−− −−−−−−−−−− −−−−−−−−−−−−− −−−− −−−−−−−−−−−−−−-- 00:11:85:A5:7B:F5 10.0.0.2 86391 dhcp−snooping 1 FastEtheret1/0/1 00:11:85:8D:9A:F9 10.0.0.3 86313 dhcp−snooping 1 FastEtheret1/0/2 Total number of bindings: 2 !−−− Affiche les entrées des liens pour la surveillance DHCP pour le commutateur. Cat3750# !−−− Le(s) serveur(s) DHCP connectés à des ports non fiables ne pourront pas !---- affecter d'adresse IP aux clients. Inspection ARP dynamique L'inspection ARP dynamique est une fonctionnalité qui valide les paquets ARP dans un réseau. L'inspection ARP dynamique intercepte, loggue et élimine les paquets ARP avec des liens IP - Adresse MAC non valides. Cette capacité protège le réseau contre certaines attaques de type "man-in-the-middle". Inspection ARP dynamique assure que seules les requêtes et les réponses ARP valides sont relayées. Le commutateur réalise ces actions:  Intercepte toutes les requêtes et réponses ARP sur les ports non fiable  Vérifie que chacun de ces paquets interceptés ait un lien IP vers Adresse MAC vali- de avant de mettre à jour le cache ARP local ou avant d'acheminer le paquet vers la destination appropriée.  Elimine les paquets ARP invalides L'inspection ARP dynamique détermine la validité des paquets ARP sur la base de liens stockés dans la base de données de la surveillance DHCP (DHCP Snooping). Cette ba- se de données est construite par la surveillance DHCP si DHCP snooping a été validé sur le commutateur et sur les VLANs. Si le paquet ARP est reçu sur une interface de confiance ou fiable, le commutateur achemine le paquet sans aucune vérification. Sur les interfaces non fiables le commutateur achemine le paquet uniquement si celui-ci est valide. Dans des environnements sans DHCP, l'inspection ARP dynamique peut valider les pa- quets ARP à l'aide d'ACLs ARP configurées pour les hosts configurés avec des adresses IP statiques. Vous pouvez entrer la commande arp access-list en mode de configura- tion global pour définir une ACL ARP. Les ACLs ARP ont priorité sur les entrées de la base de données des liens de surveillance DHCP. Le commutateur utilise des ACLs uniquement si vous entrez la commande ip arp inspection filter vlan en mode de configuration global pour configurer les ACLs. Le commutateur compare d'abord les paquets ARP aux ACLs ARP configurées par l'utilisateur. Si l'ACL ARP rejette le paquet le commutateur rejette également le paquet même si un lien valide existe dans la base de données de liens remplie par la surveillance DHCP. La commande de configuration globale ip arp inspection vlan est entrée pour valider l'inspection ARP dynamique basée sur le VLAN. Ici seule l'interface FastEthernet 1/0/3 ccnp_cch

Inspection ARP dynamique connectée au serveur DHCP est configurée comme fiable ou de confiance avec la com- mande ip arp inspection trust. La surveillance DHCP doit être validée pour autoriser les paquets ARP qui ont des addresses IP affectées dynamiquement. Inspection ARP dynamique Cat3750#conf t Enter configuration commands, one per line. End with CNTL/Z. Cat3750(config)#ip arp inspection vlan 1 !−−− Valide l'inspection ARP dynamique sur le VLAN. Cat3750(config)#interface fastEthernet 1/0/3 Cat3750(config−if)#ip arp inspection trust !−−− Configure les interfaces connectées au serveur DHCP comme !--- fiable ou de confiance. Cat3750#show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL −−−− −−−−−−−−−−−−− −−−−−−−−− −−−−−−−−− −−−−−−−−−− 1 Enabled Active Vlan ACL Logging DHCP Logging −−−− −−−−−−−−−−− −−−−−−−−−−−− 1 Deny Deny !−−− Vérifie la configuration de l'inspection ARP dynamique. Cat3750# IP source Guard IP Source guard est une fonctionnalité de sécurité qui filtre le trafic sur la base des liens de la base de données de surveillance DHCP et de liens adresse IP source confi- gurés manuellement pour restreindre le trafic IP sur des interfaces de couche 2. Vous pouvez utiliser IP source guard pour éviter les attaques provoquées par un host qui tente d'utiliser l'adresse IP de son voisin. IP source guard empêche l'usurpation des adresses IP/MAC . Vous pouvez valider IP source guard quand la surveillance DHCP est validée sur une interface non fiable. Après que IP source guard ait été validé sur une interface, le com- mutateur bloque tout le trafic IP reçu sur l'interface excepté les paquets DHCP auto- risés par la surveillance DHCP. Une ACL de port est appliquée à l'interface. L'ACL de port autorise le trafic IP avec une adresse IP source présente dans la base de données de liens et rejette tout autre trafic. ccnp_cch

La table de liens IP source a des liens qui sont appris par la surveillance DHCP ou qui sont configurés manuellement (liens IP source statiques). Une entrée dans cette table a une adresse IP, son adresse MAC associée et son numéro de VLAN associé. Le com- mutateur utilise la table de liens IP source uniquement quand IP source guard est va- lidé. Vous pouvez configurer IP source guard avec filtrage de l'adresse IP source ou avec le filtrage de l'adresse IP et de l'adresse MAC. Quand IP source guard est validé avec ces options le trafic IP est filtré sur la base de l'adresse IP source. Le commutateur ache- mine le trafic IP source quand l'adresse IP source correspond à une entrée de la base de données des liens de surveillance DHCP ou de la table des liens IP source. Quand IP source guard est validé avec ces options, le trafic IP est filtré sur la base des adres- ses IP et MAC. Le commutateur achemine le trafic uniquement lorsque l'adresse IP source et l'adresse MAC correspondent à une entrée dans la table de liens IP source. Note: IP source guard est supporté uniquement sur les ports de couche 2 qui sont les ports d'accès et les ports trunk. Ici IP source guard avec le filtrage IP source est configuré sur l'interface FastEthernet 1/0/1 avec la commande ip verify source. Quand IP source guard avec le filtrage IP est validé sur un VLAN, la surveillance DHCP doit être validé sur le VLAN auquel ap- partient l'interface. Entrez la commande show ip verify source pour vérifier la configu- ration de IP source guard sur le commutateur. IP Source Guard Cat3750#conf t Enter configuration commands, one per line. End with CNTL/Z. Cat3750(config)#ip dhcp snooping Cat3750(config)#ip dhcp snooping vlan 1 !−−− Voir la section DHCP Snooping de ce document pour les !−−− informations de configuration de DHCP snooping. Cat3750(config)#interface fastEthernet 1/0/1 Cat3750(config−if)#ip verify source !−−− Valide IP source guard avec filtrage source IP. Cat3750#show ip verify source Interface Filter−type Filter−mode IP−address Mac−address Vlan −−−−−−−−− −−−−−−−−−−− −−−−−−−−−−− −−−−−−−−−−−−−−− −−−−−−−−−−−−−−−−− −−−−− Fa1/0/1 ip active 10.0.0.2 1 !−−− Pour le VLAN 1, IP source guard est configuré avec le filtrage !--- d'adresse IP sur l'interface et un lien existe pour cette interface. Cat3750# ccnp_cch