Dynamic ARP Inspection

Dynamic ARP Inspection

( DAI )

 

 

Presentation


 

Le DAI va nous servir a nous proteger de l’attaque « ARP Spoofing »

ARP Spoofing :

Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-and-the-middle.

Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-and-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent

Mise en situation :

– Notre VLAN 100 supporte le réseau 192.168.1.0 /24
– Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :

L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC
L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC
L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC


L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC

 

Résultat : Toutes les trames circulant dans notre VLAN vont être envoyé au Pirate

 

– Fonctionne avec le DHCP Snooping

Configuration


 

Etape 1 : Activer le DAI sur nos Vlans


 

Switch(config)#ip arp inspection vlan 1-100,200,300

 

Etape 2 : Spécifier nos équipements de confiance


 

Pour ce faire, deux Méthodes :

 

Par interface


 

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#ip arp inspection trust

 

Par Access-list


Switch(config)#ip arp inspection vlan 100
Switch(config)#arp access-list Finger
Switch(config-acl)#permit ip host 192.168.1.1 mac host 1111.1111.1111
Switch(config-acl)#exit
Switch(config)#ip arp inspection filter Finger vlan 100

 

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

1 thought on “Dynamic ARP Inspection”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *