Académique Documents
Professionnel Documents
Culture Documents
DHCP Spoofing : C’est une attaque de type « Man in the Middle » qui consiste à Limiter le nombre des demandes DHCP sur une interface :
usurper le serveur DHCP. L’attaquant en se faisant passer pour un DHCP légitime va Switch(config)#interface range Fa 0/2
Switch(config-if)#ip dhcp snooping limit rate 100
fournir ainsi aux clients des informations erronées (ex : serveurs DNS falsifiés, mauvaise
passerelle). C’est une extension de l’attaque DHCP Starvation .(Figure 2). DHCP Binding Data-Base
Afficher la base de donnée « DHCP Snooping » :
Switch#show ip dhcp snooping binding
Effacer la base de donnée « DHCP Snooping » :
Switch(config)#clear ip dhcp snooping binding
Enregistrer la base de donnée « DHCP Snooping » sur un serveur distant :
S(config)# ip dhcp snooping database tftp://10.1.1.1/backup write-delay [s] timeout [s]
Write-delay : le temps nécessaire pour sauvegarder les données ( 300s par défaut)
Timeout : si la sauvegarde echoue pendant ce temps , elle sera annulée.
DHCP Option 82 :
Insérer l’option 82 dans les paquets DHCP (DHCP relay ) :
S(confi)#ip dhcp snooping information option (activé par défaut seulement DHCP Snooping)
Techniques des Réseaux Informatiques CCNA Sécurité Réalisé par : OUSSAMA NAZIH
Principe de fonctionnement :
• PC-A veut joindre PC-B, mais elle ne possède pas son adresse MAC dans son cache ARP. • Les réponses ARP reçues sur les ports non-confiants seront vérifiées à l’aide de la base
Elle émet alors une requête en broadcast … de donnée DHCP Snooping, ou manuellement configuré.
• PC-B effectue deux actions : o DAI peut être configuré sur les ports : access , trunks ,PVLAN ,Port-channel.
o Met à jour sa propre cache ARP avec l’adresse MAC et l’IP de PC-A. o L’inspection est appliquée seulement sur les port untrusted (non-confiants).
o Envoie une réponse ARP avec son adresse IP et son adresse MAC au PC-A. o DAI utilise la base de DHCP Snooping (par défaut) , on peut ajouter les
• PC-A reçoit la réponse et met à jour sa cache avec la nouvelle association reçue. correspondances légitimes [MAC – IP] manuellement.(Access-list). [les entrés d’ACL
sont vérifiés en premier ].
o Si une réponse ARP n’appartient pas à la base de donnée , DAI rejette les réponses
Le protocole ARP est sans état (stateless) : Une machine mettra à jour toujours sa cache
ARP interceptés non valides et génère un message log.
ARP lorsqu’elle reçoit une réponse ARP même si elle n’a pas initié de requête. La mise à
o On peut configurer la fréquence limite des requêtes ARP , s’elle est dépassée ,le port
jour écrase systématiquement l’entrée précédente. Il existe deux types d’attaques ARP :
passe en err-disabled.( Contre les attaques Déni de Service).
Man in the Middle : l’attaquant envoie une Réponse ARP avec son propre adresse MAC
et l’adresse IP de client légitime, ainsi tous les trames destinées au client légitime seront
Configurer Dynamic ARP INSPECTION
redirigées vers l’attaquant [Figure 1]. Activer «Dynamique arp inspection » pour vlan 10 :
Switch(config)#ip arp inspection vlan 10
DOS : L’attaquant envoie plusieurs Réponses ARP avec l’adresse MAC de serveur
légitime, tous les périphériques vont mettre à jours leurs tables ARP ainsi les paquets IP Configurer un port de confiance :
dans le réseau seront redirigés tous vers le serveur [Figure 2]. Switch(config-if)#ip arp inspection validate trust
BPDUFilter :
- Il est possible d’utiliser la fonctionnalité BPDUFilter afin d’empêcher un équipement
d’envoyer et même de recevoir des BPDU sur un port spécifié.
- BPDUFilter peut être configuré en mode globale ou en mode interface :
• Mode Interface(2) : dans ce mode, le port ne va ni envoyer ni recevoir une trame
BPDU , c’est équivalent à désactive le STP dans ce port.
o BPDUFilter bloque les BPDU à l’entrée et à la sortie du port.
o il ‘est activé sans condition ( même sans PORTFast).
• Le PVST+ est activé par défaut, tous les switchs ont la valeur de pont-ID par défaut, Le
SwitchA a l’adresse MAC la plus basse, il devient donc le Pont-Racine. • Mode Globale : Si un port (en PORTFast) reçoit une trame BPDU , il perd sa
• Un pirate va se connecter aux SwitchA et SwitchB et génére des trames BPDU avec une configuration (PORTFast et BPDUFilter) et repasse en normal STP.
priorité faible → La topologie est recalculé par PVST+ : le PC pirate devient le Pont- o BPDUFilter bloque les BPDU seulement à l’entrée du port.
Racine de la topologie → Tout les flux transitent par le Pirate : o Activé sur un port si et seulement si PORTFast est activé aussi (opérationnel).
o Il peut se comporter comme un Switch pour intercepter le trafic grâce à un sniffer o Pendant le temps de Hello time , le port envoi encore 11 BPDU lorsque qu’il est
pour une attaque type Man-in-the-Middle (MITM). mise en ligne afin d'éviter les erreurs de la configuration.
o Il peut rendre les services indisponibles grâce à un déni de service (Dos Attaque).
Commandes Cisco : Activer BPDUFilter
- Mode interface :
BPDUGuard : Switch(config)#interface range Fa 0/1
• Permet de renforcer la sécurité de couche 2 : Désactiver Switch(config-if)#spanning-tree bpdufilter enable
une interface qui recevrait un BPDU alors qu’elle
n’aurait pas dû : dans ce cas, elle sera placée à l’ état - Mode Globale :
Errdisabled (down/down).(1) Switch(config)#spanning-tree portfast bpdufilter default
o BPDUGuard (mode globale ) : activé sur un port si et
seulement si PORTFast est activé aussi (opérationnel). PortFast, BPDUFilter and BPDUGuard : Priorité.
o BPDUGuard (mode interface) : il ‘est activé sans Si on applique les trois fonctionnalités sur un port du commutateur , il faut bien savoir
condition ( même sans PORTFast). l’ordre d’application considéré par le commutateur :
• Pour que l’interface soit à nouveau fonctionnelle, elle En mode globale : BPDUGuard (1st) Port Fast (2nd) BPDUFilter(3rd)
devra être manuellement remise à zéro (shut/no shut) En mode interface : BPDUFilter (1st) BPDUGuard(2nd) PortFast.(3rd)
ou bien utiliser la fonctionnalité errdisable recovery.
• (1) Pour configurer la récupération automatique d’un port placé à l’ état ( errdisabld) :
Commandes Cisco : Activer BPDUGuard Switch(config)#errdisable recovery cause bpduguard
Switch(config)#errdisable recovery interval 30 (recuperation après 30s)
- Mode interface : • (2) Il faut faire attention lorsqu’on active BPDUFilter ou BPDUGuard en mode interface :
Switch(config)#interface range Fa 0/1 On les active sur une interface en mode accès et non pas Trunk ,sinon ça risque de créer des
Switch(config-if)#spanning-tree bpduguard enable boucles puisque STP sera désactivé dans ce cas.
• il est recommandé d’utiliser BPDUGuard au lieu de BPDUFilter , car la fonctionnalité
- Mode Globale : errdisabled permet d’envoyer une notification à l’administrateur réseau pour traiter la source
Switch(config)#spanning-tree portfast bpduguard default du problème tout en gardant la topologie spanning-tree opérationnelle
Techniques des Réseaux Informatiques CCNA Sécurité Réalisé par : OUSSAMA NAZIH
ROOTGuard :
Elle va refuser qu’un équipement se présente sur ce port avec un Bridge ID plus On suppose maintenant le brin « Réception » entre B et C est endommagé, le switch
faible que le Root-Bridge Actuel. C ne reçoit pas des trames de la part de SwitchB , par contre il peut encore envoyer
le trafic à lui. [Figure 2]. dans ce cas :
Commandes Cisco: Activer ROOTGuard
- Mode interface:
Switch(config)#interface range Fa 0/1 – 2 Le Switch C :
Switch(config-range-if)#spanning-tree guard root - Reçoit une trame BPDU sur son port « Root-Port »
- Ne reçoit plus de trames BPDU sur son port Alternate !!!!!
LOOPGuard : Le protocole Spanning-tree vas se dire :
Pour qu’une liaison fibre entre deux switchs puisse « Si je ne reçois plus de trame BPDU sur ce port, c’est que cette liaison ne vas pas faire
fonctionner, elle a besoin de deux brins : de boucle dans ma topologie STP, je repasse donc en mode Forwarding et ce port aura le
Un Brin « Emission » et un Brin « Réception » rôle de « Designated-port » Conséquence → Tempête de broadcast.