Scribd Logo
Importer

Bienvenue sur Scribd !

  • 76 vues

    TP SENSS Snooping

    Transféré par

    Mavego Mamididi
    Ce document décrit la configuration de fonctionnalités de sécurité réseau telles que DHCP Snooping, DAI et IP Source Guard sur un commutateur. Il contient des instructions étape par étape pour la configuration de ces fonctionnalités et des vérifications associées.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    TP SENSS Snooping

    Transféré par

    Mavego Mamididi
    76 vues7 pages
    Ce document décrit la configuration de fonctionnalités de sécurité réseau telles que DHCP Snooping, DAI et IP Source Guard sur un commutateur. Il contient des instructions étape par étape pour la configuration de ces fonctionnalités et des vérifications associées.

    Titre original

    TP_SENSS_Snooping

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit la configuration de fonctionnalités de sécurité réseau telles que DHCP Snooping, DAI et IP Source Guard sur un commutateur. Il contient des instructions étape par étape pour la configuration de ces fonctionnalités et des vérifications associées.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    76 vues7 pages

    TP SENSS Snooping

    Transféré par

    Mavego Mamididi
    Ce document décrit la configuration de fonctionnalités de sécurité réseau telles que DHCP Snooping, DAI et IP Source Guard sur un commutateur. Il contient des instructions étape par étape pour la configuration de ces fonctionnalités et des vérifications associées.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 7

    Master1 SRS CCNP SEC SENSS 2019

    CONFIGURATION DU SNOOPING
    DHCP – DAI – IP- STP

    NB : ce TP est réalisé sur le simulateur Eve-ng.

    PARTIE 1 : DHCP SNOOPING (05 pts)

    Réalisez la topologie sur le simulateur Eve-ng, adressez les équipements et configurez

    le routage eigrp.

    M. DOMAN 1|Page
    Master1 SRS CCNP SEC SENSS 2019

    Question 1: configuration et vérification du DHCP (02 pts)


    Le routeur DHCP_SERVER sera configuré comme serveur DHCP et le PC sera configuré
    comme client DHCP.

    hostname DHCP_SERVER
    ip dhcp excluded-address 10.0.0.1 10.0.0.99
    ip dhcp pool ESGIS
    network 10.0.0.0 255.255.255.0
    default-router 10.0.0.254
    Configuration de
    domain name esgis.edu
    DHCP_SERVER
    dns-server 8.8.8.8
    lease 3600
    interface e0/0
    ip address 10.0.0.254 255.255.255.0
    no shutdown
    hostname PC
    interface e0/0
    Configuration de PC
    ip address dhcp
    no shutdown

    VERIFICATIONS

    Sur le DHCP_SERVER SUR LE PC


    show ip dhcp pool interface e0/0
    show ip dhcp binding shutdown
    no shutdown
    Pour voir le processus : Pour voir l’adresse IP fournie :
    show ip interface brief
    debug ip dhcp server events
    debug ip dhcp server packets
    clear ip dhcp binding *

    Quels sont les paquets significatifs du DHCP que vous voyez ?

    ………………………………………………………………………………………………

    ………………………………………………………………………………………………

    ………………………………………………………………………………………………

    M. DOMAN 2|Page
    Master1 SRS CCNP SEC SENSS 2019

    Question 2: configuration du DHCP Snooping (02 pts)


    Il s’agit de configurer le switch SW1 pour qu’il empêche les serveurs DHCP sur ses ports
    untrusted, de cette façon aucun serveur DHCP non autorisé ne pourra fournir d’adresse
    IP aux clients du réseau.

    Sur SW1 :

    Sur le SW1 Sur le PC


    ip dhcp snooping interface e0/0
    ip dhcp snooping vlan 1 shutdown
    no ip dhcp snooping information option no shutdown
    ip shcp snooping database flash:/snooping.txt

    Sur le SW1 faites show ip dhcp snooping, show ip dhcp snooping binding et aussi show
    ip dhcp snooping statistics. Que remarquez-vous ? le PC a-t-il une adresse ?

    …………………………………………………………………………………………….

    Vous avez cette réponse parce que la configuration du snooping définit tous les ports du
    SW1 comme untrusted. De ce fait, le DHCP_SERVER ne peut pas servir d’adresse au
    PC. Pour y remédier, il faut configurer le port du SW1 connecté au DHCP_SERVER
    comme trusted.

    interface e0/0
    ip dhcp snooping trust

    il est possible de limiter le taux de paquets DHCP reçus sur le port qui fait face au PC
    pour renforcer la sécurité :

    interface e0/1
    ip dhcp snooping limit rate 10

    Sur le SW1 faites show ip dhcp snooping, show ip dhcp snooping binding et aussi show
    ip dhcp snooping statistics. Que remarquez-vous ? le PC a-t-il une adresse ?

    …………………………………………………………………………………………….

    M. DOMAN 3|Page
    Master1 SRS CCNP SEC SENSS 2019

    PARTIE 2 : DAI (05 pts)

    Les attaquants utilisent le GARP (Grattuitous ARP) pour opérer des attaques sur le MAC
    et flouer la table d’adresse MAC.

    Le DAI permet de lutter contre le ARP spoofing en validant les paquets ARP par :

    • Un ARP ACL statique configuré pour les MAC autorisées ;


    • Ou la table du DHCP snooping.

    Quand les PC sont configurés avec des IP fixes, il faut configurer :

    • Soit un ARP ACL pour le MAC de ces PC ;


    • Soit définir les ports de switch connectés a ces PC comme trusted. Dans ce cas, il
    faut limiter le taux de paquets ARP sur ces ports trusted.

    Question 3 : configuration du DAI (02 pts)


    Le lab se base sur la topologie précédente.

    Une seule commande suffit sur le switch SW1 :

    conf t
    ip arp inspection vlan 1

    Pour vérifier,

    show ip arp inspection


    show ip arp inspection vlan 1
    show ip arp inspection interfaces

    M. DOMAN 4|Page
    Master1 SRS CCNP SEC SENSS 2019

    Vous constatez que la vérification est activée mais il n’y a pas de ARP ACL configurée.
    Du coup, les requêtes ARP en provenance du PC pourront traverser le SW1 (le MAC du
    PC est validé par la table du DHCP snooping). Toutefois, les réponses et les requêtes
    ARP du SERVEUR_DHCP ne passeront pas, son IP est fixe donc son MAC n’est pas
    dans la table du DHCP snooping.

    Faite conf t et logging console pour vérifier. Ou alors un debug arp sur le SW1.

    La résolution est la suivante :

    Sur le DHCP_SERVER fermez le port e0/0, et allez sur le SW1 pour les configurations.

    Avec ARP ACL Avec le Trusted


    Si on suppose que le MAC du interface e0/0
    DHCP_SERVER est aaa.aaa.aaa ip arp inspection trust
    interface e0/0
    no ip arp inspection trust
    exit
    arp access list DAI_11
    permit ip host 10.0.0.254 mac aaa.aaa.aaa
    exit
    ip arp inspection filter DAI_11 vlan 11

    Apres les configurations allez sur le switch SW1 et faites un shutdown et no shutdown
    sur les interfaces qui font face au PC et au DHCP_SERVER. Puis sur l’interface e0/0 du
    DHCP_SERVER, faites un no shutdown.

    M. DOMAN 5|Page
    Master1 SRS CCNP SEC SENSS 2019

    PARTIE 3: IP SNOOPING (05 pts)

    Il est possible qu’un attaquant vole une adresse IP appartenant a un PC du réseau et essaie
    de l’utiliser pour envoyer du trafic sur le système. Le IP source Guard est une parade a ce
    genre de fraude. Il permet au switch de coupler les adresses IP aux ports sur lesquels elles
    sont apprises. Cela est possible par :

    • La table du DHCP snooping ;


    • Ou une association statique pour les hôtes à IP fixe.

    Question 4 : configuration sur un switch (02 pts)


    Le lab se base sur la topologie précédente.

    Ajoutez un nouvel hôte PC2 sur le switch SW1.

    Supprimez la configuration du DAI sur SW1

    conf t
    no ip arp inspection vlan 1

    Nous allons spoofer l’adresse du PC1 sur le PC2. Allez sur le PC2 et configurez
    manuellement l’adresse IP attribuée au PC1.

    Depuis le PC2, essayez un ping sur DHCP_SERVER. Quel résultat avez-vous ?

    …………………………………………………………………………………….

    Il apparait donc nécessaire de configurer le SW1 pour éviter ce genre de situations. Allez
    sur SW1 et effectuez les config suivantes sur l’interface connectée au PC1:

    M. DOMAN 6|Page
    Master1 SRS CCNP SEC SENSS 2019

    conf t
    interface e0/1
    ip verify source
    interface e0/0
    ip verify source

    Pour vérifier les configurations, faites show ip verify source et aussi show ip source
    binding.

    Depuis le PC2, essayez à nouveau un ping sur DHCP_SERVER. Quel résultat avez-
    vous ?

    …………………………………………………………………………………….

    Le SW1 a utilisé la table du DHCP snooping pour vérifier la source de l’adresse IP et il


    constate que le ping provient du mauvais port, donc il le bloque.

    Nous allons spoofer l’adresse du DHCP_SERVER sur le PC2. Allez sur le PC2 et
    configurez manuellement l’adresse IP attribuée au DHCP_SERVER (10.0.0.254).

    Depuis le PC2, essayez un ping sur le PC1. Quel résultat avez-vous ?

    ……………………………………………..…………………………………………….

    Cela est possible parce que le DHCP_SERVER a une adresse IP fixe. Pour y remédier, il
    faut faire une association statique du port et de l’adresse IP du DHCP _SERVER.

    conf t
    ip source binding aaaa.aaaa.aaaa vlan 1 10.0.0.254 interface e0/0

    Pour vérifier les configurations, faites show ip verify source et aussi show ip source
    binding.

    Depuis le PC2, essayez à nouveau un ping sur le PC1. Quel résultat avez-vous ?

    ……………………………………………..…………………………………………….

    Conclusion

    ………………………………………………………………………………………………

    ……………………………………………………………………………………………

    Question 5 : configuration sur un routeur URPF (02 pts)

    M. DOMAN 7|Page

    Vous aimerez peut-être aussi