IP Source Guard

IP Source Guard = IPSG pour les intimes 😉

DHCP Snooping = Protège notre réseau d’un Serveur DHCP non désiré.
IP Source Guard = Protège notre réseau d’un Client non désiré.

L’IP Source Guard est basé sur le DHCP Snooping. Il est donc primordiale de lire cet article en amont.

 

Introduction


Le DHCP Snooping :

– Protège votre topologie d’un serveur DHCP malveillant.
– Créer une base de donnée DHCP SNOOPING DATABASE contentant les baux DHCP distribués.

 

Conclusion d’un point de vue sécurité 


Avantage

Un pirate ne peux pas venir se connecter sur notre réseau et faire serveur DHCP

Inconvéniant

Un pirate peux venir se connecter sur notre réseau et se faire passer pour un client lambda

Solution 

IP Source Guard

 


Présentation de

IP Source Guard


Le But du jeu :

Autoriser uniquement les clients connu de notre serveur DHCP.

Nous avons quoi pour faire ça :

La DHCP Snooping Database :

SW01# show ip dhcp snooping binding 
 MacAddress   IpAddress        Lease(sec)  Type           VLAN  Interface
 -----------  ---------------  ----------  -------------  ----  ----------
 @MAC01       192.168.1.1      86400       dhcp-snooping  10    Gi0/1
 @MAC02       192.168.1.2      86400       dhcp-snooping  10    Gi0/1
 Total number of bindings: 2

Cas particulier : 

Des clients en IP fixe (Téléphone, serveurs, immprimante, etc …)

Solution : 

Prendre en référence notre DHCP Snooping Database ainsi qu’une deuxième Database avec des entrées statique possible :

IP Source Guard Database

IP source guard

IP Source Guard

L’IP Source Guard  (IPSG) :

– Est basée sur la DHCP snooping binding database et les IP source bindings configuré manuellement.
– Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
– A activer sur les interfaces UNTRUSTED.
– Le Switch bloque tout le traffic IP sur l’interface ou le IP Source Guard est activé sauf pour les paquets DHCP.
Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)

 

Où mettre en place l'IP Source Guard

Où mettre en place l’IP Source Guard

 


Mise en place de 

IP Source Guard


ezfdfsd

Créer une entrée statique dans la Database IPSG


 

Switch(config)# ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]

Exemple :

– Adresse IP : 10.0.0.1
– Adresse MAC : 1111.1111.1111
– Vlan : 10
– Interface : FastEthernet 0/1

Switch(config)# ip source binding 1111.1111.1111 vlan 10 10.0.0.1 interface Fa0/1

 

Appliquer l’IP Source Guard


 

Switch(config)#interface FastEthernet 0/1
Switch(config-if)# ip verify source

 

Troubleshooting


Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :

Switch# show ip verify source

Pour avoir plus de details :

Switch#show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan]
Switch#show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]

Soit :

Switch#show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 10
Switch#show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 10

 

La sécurité IP Source Guard est présente dans la certification CCNP SWITCH

 

En espérant que cet article vous as été utile ! Hésitez pas à me la faire savoir !!
Ce site possède d’autres articles réseaux, profitez en pour naviguer dans la barre de menu !

 

FingerInTheNet.com

Noël NICOLAS

Expert Réseau
10 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Poster un Commentaire

1 Commentaire sur "IP Source Guard"

Laisser un commentaire

  Subscribe  
plus récents plus anciens plus de votes
Me notifier des
KayouMT
Invité
Félicitations ! J’ai quand-même quelques commentaires. 1 – Je ne comprends pas quand tu dis, au sujet des interfaces UNTRUST : « Ils ne vont pas avoir accès au réseau … ». Tous les clients sont UNTRUST ; mais, quand ils obtiennent leur IP par DHCP, ils ont normalement accès au réseau ? 2 – Contrairement à ce que dit la section « Présentation » ; les deux dernières commandes « show ip source binding … » laissent penser qu’on peut utiliser la notion d’IP Source Guard sans activer le DHCP Snooping ? 3 – Finalement, est-ce DHCP Snooping et IP Source Guard ne sont pas… Read more »