CCNA 200-301 · Sécurité

Dynamic ARP Inspection (DAI)

Se protéger des attaques ARP Spoofing et Man-in-the-middle en validant les paquets ARP du réseau.

Le DAI va nous servir à nous protéger des attaques ARP Spoofing et des Man-in-the-middle. C’est une sécurité qui permet de valider les paquets ARP dans notre réseau. Si le DAI intercepte une trame avec une combinaison IP + MAC invalide il va :

  • Intercepter la trame (intercept)
  • Créer un événement (log)
  • Jeter la trame (Discard)
Dynamic ARP inspection (DAI)
Dynamic ARP inspection (DAI)

ARP spoofing

Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-in-the-middle.

Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-in-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent

Mise en situation :

  • Notre VLAN 100 supporte le réseau 192.168.1.0 /24
  • Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :
    • L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC.
    • L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC.

Résultat : Toutes les trames circulant dans notre VLAN vont être envoyées au Pirate …

Configuration du DAI

Étape 1 : Activer le DAI sur nos Vlans

Sw(config)# ip arp inspection vlan 1-100,200,300

Étape 2 : Spécifier nos équipements de confiance

Pour ce faire, il existe deux méthodes :

  • Par interface
Sw(config)# interface GigabitEthernet 0/1 Sw(config-if)# ip arp inspection trust
  • Par Access-list
Sw(config)# ip arp inspection vlan 100 Sw(config)# arp access-list Finger Sw(config-acl)# permit ip host 192.168.1.1 mac host 1111.1111.1111 Sw(config-acl)# exit Sw(config)# ip arp inspection filter Finger vlan 100
Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →