Protection contre l’IP Spoofing
L’IP spoofing est une technique d’attaque où un adversaire forge son adresse IP source dans les paquets qu’il envoie, dans le but de masquer sa véritable identité ou de tromper les systèmes ou les utilisateurs cibles en leur faisant croire que les paquets proviennent d’une source différente.
Un exemple concret d’une attaque par usurpation d’IP est l’attaque « Smurf ». Dans cette attaque, le pirate envoie un grand nombre de paquets ICMP Echo Request (Un simple ping) à une adresse de diffusion du réseau cible. L’adresse IP source de ces paquets est modifiée pour correspondre à l’adresse IP de la victime. Tous les hôtes du réseau cible répondront alors à l’adresse IP usurpée, inondant ainsi la victime avec un grand volume de trafic réseau, ce qui entraîne un déni de service.
IP Source Guard est une fonctionnalité de sécurité disponible sur de nombreux switches modernes qui peut aider à atténuer les risques associés à l’IP spoofing. Cette fonctionnalité limite le trafic IP sur un port spécifique à une ou plusieurs adresses IP spécifiques et à leurs adresses MAC associées. Le principe de IP Source Guard est que lorsqu’un client reçoit une adresse IP par le biais de DHCP, le switch fait le lien entre: l’adresse IP du client, son adresse MAC, et le port sur lequel le client est connecté. Ces informations sont enregistrées dans le switch.
Une fois cette liaison créée, IP Source Guard est capable de filtrer le trafic sur ce port, de sorte que seuls les paquets qui ont une correspondance exacte entre l’adresse IP source et l’adresse MAC source sont autorisés à passer. Si un attaquant tente de forger son adresse IP source, l’adresse IP source du paquet ne correspondra pas à l’adresse MAC source enregistrée dans le tableau de liaison IP-MAC. Par conséquent, le switch rejettera ce paquet, protégeant ainsi le réseau contre cette attaque d’usurpation d’IP.
Pour configurer l’IP Source Guard
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan <vlan-id>
Switch(config-if)# ip verify source port-security
Pour utiliser ces commandes
- Entrez dans le mode configuration globale.
- Tapez
ip dhcp snoopingpour commencer d’analyser les requêtes DHCP pour remplir la table de liaison IP-MAC. - Tapez
ip dhcp snooping vlan <vlan-id>, en remplaçant<vlan-id>par les numéros de vlan à appliquer la vérification. - Entrez dans le mode configuration d’interfaces.
- L’interface doit être configurée en mode accès.
- Tapez
ip verify source port-securitypour activer la protection sur une interface réseau.
Exemple d’utilisation
Switch> enable
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# ip verify source port-security
Switch(config-if)# end