CCNA 200-301 · Sécurité

IP Source Guard

Autoriser uniquement les clients légitimes connus du DHCP Snooping et bloquer les usurpations d’identité sur le réseau.

IP Source Guard = IPSG pour les intimes 😉

DHCP Snooping = Protège notre réseau d’un Serveur DHCP non désiré.
IP Source Guard = Protège notre réseau d’un Client non désiré.

L’IP Source Guard est basé sur le DHCP Snooping. Ce dernier :

  • Protège votre topologie d’un serveur DHCP malveillant.
  • Créer une base de données DHCP SNOOPING DATABASE contenant les baux DHCP distribués.

Conclusion d’un point de vue sécurité :

  • Avantage : Un pirate ne peut pas venir se connecter sur notre réseau et faire serveur DHCP
  • Inconvénient : Un pirate peut venir se connecter sur notre réseau et se faire passer pour un client lambda
  • Solution : IP Source Guard

Présentation de l’IP Source Guard

L’IP Source Guard permet d’autoriser uniquement les clients connus de notre serveur DHCP. Pour se faire, il va se baser sur la DHCP Snooping Database :

SW01# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ----------- --------------- ---------- ------------- ---- ---------- @MAC01 192.168.1.1 86400 dhcp-snooping 10 Gi0/1 @MAC02 192.168.1.2 86400 dhcp-snooping 10 Gi0/1 Total number of bindings: 2
  • Cas particulier : Des clients en IP fixe (Téléphone, serveurs, imprimante, etc …)
  • Solution : Prendre en référence notre DHCP Snooping Database ainsi qu’une deuxième Database avec des entrées statiques possibles :

IP Source Guard Database

IP source guard
IP Source Guard

L’IP Source Guard (IPSG) :

  • Est basée sur le DHCP snooping binding database et les IP source bindings configurés manuellement.
  • Prévient des usurpations d’identité (une personne qui prend l’identité d’un utilisateur authentifié)
  • À activer sur les interfaces UNTRUSTED.
  • Le Switch bloque tout le trafic IP sur l’interface où le IP Source Guard est activé sauf pour les paquets DHCP.
  • Activable uniquement sur des interfaces de niveau 2 (no switchport + IP source Guard = Impossible)
Où mettre en place l'IP Source Guard
Où mettre en place l’IP Source Guard

Mise en place de l’IP Source Guard

Créer une entrée statique dans la Database IPSG

Sw(config)# ip source binding [@MAC] vlan [Num.Vlan] [@IP] interface [Int.]

Exemple :

Sw(config)# ip source binding 1111.1111.1111 vlan 10 10.0.0.1 interface Fa0/1

Appliquer l’IP Source Guard

Sw(config)# interface FastEthernet 0/1 Sw(config-if)# ip verify source

Vérification

Si vous voulez vérifier l’état de l’IP Source Guard, utilisez cette commande :

Sw# show ip verify source

Pour avoir plus de détails :

Sw# show ip source binding [@IP] [@MAC] dhcp-snooping [Interface] [Num.Vlan] Sw# show ip source binding [@IP] [@MAC] static [Interface] [Num.Vlan]

Soit :

Sw# show ip source binding 10.0.0.1 1111.1111.1111 dhcp-snooping Fa0/1 10 Sw# show ip source binding 10.0.0.1 1111.1111.1111 static Fa0/1 10

La sécurité IP Source Guard est présente dans la certification CCNP SWITCH

Portrait d'Eric Jouffrion, contributeur du site FingerInTheNet

Eric JOUFFRILLON

Co-auteur de l'article

Expert SATCOM
Technicien Réseau
17 ans d’éxpérience déploiement réseau SATCOM
Spécialisé LFN (Long Fat Network).Diffusion vidéo et QOS.

Photo en noir et blanc de Noël Nicolas

Noël NICOLAS

Auteur de l'article

Expert Réseau
15 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Formation CCNA 200-301Formation CCNA

Devenez certifié CCNA 200-301

La formation complète Cisco, à votre rythme et accès à vie.

Voir la formation →