Dynamic ARP Inspection (DAI)

 

 

Pré-Requis


DHCP Snooping

 

Présentation


Le DAI va nous servir a nous protéger des attaques ARP Spoofing et des Man-and-the-middle

C’est une sécurité qui permet de validé les paquets ARP dans notre réseau.

Si le DAI intercepte une trame avec une combinaison IP + MAC invalide il va :

Intercepter la trame (intercept)
Créer un évenement (log)
Jeter la trame (Discard)

Dynamic ARP inspection (DAI)

Dynamic ARP inspection (DAI)

 

 

ARP Spoofing


Le but de l’ARP Spoofing est de polluer les tables ARP des équipements présents sur notre réseau afin de faire du Man-and-the-middle.

Rappel : Table ARP = Relation entre une adresse IP et une adresse MAC
Rappel : Man-and-the-middle = Se mettre en écoute sur les réseaux sans que les utilisateurs ne s’en aperçoivent

Mise en situation :

– Notre VLAN 100 supporte le réseau 192.168.1.0 /24
– Notre pirate se connecte sur un port de notre switch et va envoyer en broadcast :

L’adresse IP 192.168.1.1 c’est moi ! Voici mon adresse MAC
L’adresse IP 192.168.1.2 c’est moi ! Voici mon adresse MAC
L’adresse IP 192.168.1.3 c’est moi ! Voici mon adresse MAC


L’adresse IP 192.168.1.254 c’est moi ! Voici mon adresse MAC

Résultat : Toutes les trames circulant dans notre VLAN vont être envoyé au Pirate

Configuration


 

Etape 1 : Activer le DAI sur nos Vlans


 

Switch(config)# ip arp inspection vlan 1-100,200,300

 

Etape 2 : Spécifier nos équipements de confiance


 

Pour ce faire, deux Méthodes :

 

Par interface


 

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)# ip arp inspection trust

 

Par Access-list


Switch(config)# ip arp inspection vlan 100
Switch(config)# arp access-list Finger
Switch(config-acl)# permit ip host 192.168.1.1 mac host 1111.1111.1111
Switch(config-acl)# exit
Switch(config)# ip arp inspection filter Finger vlan 100

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Poster un Commentaire

1 Commentaire sur "Dynamic ARP Inspection (DAI)"

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
KayouMT
Invité
Félicitations ! Quelques commentaires : 1 – Man-AND-The-Middle, ce n’est pas répandu comme appellation. J’ai surtout entendu parler de Man-IN-The-middle (le « IN » à la place du « AND »). 2 – Le schéma parle de « DHCP Snooping Database ». J’ai de la difficulté à voir le rapport entre les deux sujets : « DHCP Snooping » et « ARP Spoofing ». 3 – Si « ip arp inspection » est déjà configuré, qu’est-ce qui se passe si le Pirate broadcast plusieurs fausses IP adresses avec sa MAC address ? Est-ce que ces adresses vont se retrouver quand-même dans la Table ARP ? 4 – Pour reproduire ce problème dans… Read more »