Protection contre l’ARP Spoofing
L’ARP Spoofing, également connu sous le nom de ARP Poisoning, est une technique d’attaque où un individu malveillant envoie de fausses réponses ARP dans un réseau. Le but est souvent d’associer l’adresse MAC de l’attaquant à l’adresse IP d’un autre hôte (comme la passerelle par défaut du réseau), provoquant le routage du trafic réseau destiné à cette adresse IP vers l’attaquant.
Supposons qu’un utilisateur souhaite se connecter à son routeur pour accéder à Internet. Normalement, l’utilisateur envoie une requête ARP pour trouver l’adresse MAC du routeur, et le routeur répond avec son adresse MAC. Cependant, dans une attaque de ARP Spoofing, l’attaquant écoute les requêtes ARP et, lorsqu’il détecte une requête destinée au routeur, il envoie sa propre réponse avant que le routeur ne le fasse. La réponse de l’attaquant contient l’adresse MAC de son propre appareil à la place de celle du routeur. L’utilisateur, pensant que la réponse vient du routeur, envoie toutes ses données à l’attaquant, qui peut alors les lire ou les modifier avant de les transmettre au routeur.
Pour se protéger contre ce type d’attaque, vous pouvez utiliser la fonctionnalité Dynamic ARP Inspection (DAI). DAI intercepte, enregistre et vérifie les requêtes et les réponses ARP sur le réseau. Si un paquet ARP contredit les informations précédemment apprises par DHCP Snooping, DAI rejette le paquet ARP.
Pour configurer le Dynamic ARP Inspection
Switch(config)# ip dhcp snooping
Switch(config)# ip arp inspection vlan <vlan-id>
Switch(config-if)# ip arp inspection trust
Pour utiliser ces commandes
- Entrez dans le mode configuration globale.
- Tapez
ip dhcp snoopingpour commencer d’analyser les requêtes DHCP pour remplir la table de liaison IP-MAC. - Tapez
ip arp inspection vlan <vlan-id>, en remplaçant<vlan-id>par les numéros de vlan à appliquer le Dynamic ARP Inspection. - Entrez dans le mode configuration d’interfaces où votre serveur DHCP est connecté
- Tapez la commande
ip arp inspection trustpour faire confiance aux requêtes ARP pour un port donné.
Switch> enable
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip arp inspection vlan 1
Switch(config)# interface GigabitEthernet 0/2
Switch(config-if)# ip arp inspection trust
Switch(config-if)# end