IP Source Guard

 

IP Source Guard

 

 

Pré-Requis


DHCP Snooping

 

Présentation


Comme nous l’avons vu dans l’article précédent, le DHCP Snooping permet de nous prévenir du DHCP Spoofing.
Le DHCP Snooping va créer une base de donnée contenant tous les bails DHCP distibué sur les interfaces UNTRUSTED.
Mais que va t’il se passer pour les équipements possédant une adresse IP fixe et connecté sur une interface UNTRUSTED ?

Ils ne vont pas avoir accès au réseau …
Nous allons donc les rajoutés manuellement !

De plus l’IP Source Guard ne vas pas seulement regarder si l’hôte est présent dans l’une des deux tables, il va aussi regarder s’il est bien sur le bon port et possède bien la bonne adresse MAC.

En gros, c’est une tuerie 🙂

IP Source Guard  (IPSG) :

– Basée sur la DHCP snooping binding database et les IP source bindings configuré manuellement.
– Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
– A activer sur les interfaces UNTRUSTED
– Le Switch bloque tout le traffic IP sur l’interface ou le IP Source Guard est activé sauf pour les paquets DHCP.
Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)

 

IP source guard

IP Source Guard

 

 

Créer une entrée statique


 

Switch(config)#ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]

Exemple :

– Adresse IP : 10.0.0.1
– Adresse MAC : 1111.1111.1111
– Vlan : 100
– Interface : FastEthernet 0/1

Switch(config)#ip source binding 1111.1111.1111 vlan 100 10.0.0.1 interface Fa0/1

 

Mettre en place l’IP Source Guard


 

Switch(config)#interface FastEthernet 0/1
Switch(config-if)# ip verify source

 

Troubleshooting


 

Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :

Switch# show ip verify source

Pour avoir plus de details :

Switch#show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan]
Switch#show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]

Soit :

Switch#show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 100
Switch#show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 100

 

La sécurité IP Source Guard est présente dans la certification CCNP SWITCH

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

Laisser un commentaire