Skip to content

Part 2 - DAI

2. DAI

A. Intro

DAI pour Dynamic ARP Inspection est une conf pour se protéger de ARP poisoning.

L'idée, c'est que les switches vont enregistrer à quelle adresse MAC correspond quelle adresse IP.
Ils stockent ça dans un genre de db qu'ils entretiennent.

Y'a deux façons pour que nos switches connaissent l'association adresse MAC<>adresse IP des clients du réseau :

  • SOIT nous, l'admin, on connaît qui est branché où et on définit à la main la MAC des équipements branchés

    • idéal pour du serveur : on définit leur adresse IP de façon statique, donc on sait

  • soit on connaît pas à l'avance qui est branché où

    • c'est le cas des réseaux où des clients finaux sont branchés et utilisent du DHCP
    • les switches vont alors regarder attentivement les trames DHCP qu'ils relaient et apprendre l'association IP<>MAC de chaque client à ce moment là
    • ils refuseront de relayer des trames si la MAC apprise lors de l'échange DHCP
Info

Il est donc nécssaire d'activer DHCP snooping d'abord.
Comme ça les switches sont attentifs aux trames DHCP et construisent leur database de correspondance IP<>MAC.

Une fois que les switches savent quelle MAC est associée à quelle adresse IP, et sur quel port cette machine est branchée, DAI peut être activé :

  • les trames ARP sont inspectées par les switches
  • si une trame ARP illégitime est repérée, elle est jetée

B. Setup

Conf à faire sur les switches d'accès.

Mettez en place du DAI pour tous les VLANs

  • ça va être à base de ip arp inspection vlan 10,20,30,40 pour activer le DAI sur certains VLANs

  • pour le port qui pointe vers le serveur DHCP, deux options :

    • fainéant : on trust le port ip arp inspection trust
    • strong : on définit à la main la correspondance IP<>MAC, comme ça par exemple:
arp access-list DAI_STATIC
  permit ip host 10.2.40.1 mac host aaaa.bbbb.cccc

ip arp inspection filter DAI_STATIC vlan 40

Vous pouvez voir l'état du DHCP snooping/DAI avec :

show ip dhcp snooping binding
show ip arp inspection vlan 10
show ip arp inspection statistics

On peut aussi limiter le flood ARP avec

ip arp inspection limit rate 60

C. Proof or lie

Prouvez que ça fonctionne

  • depuis votre machine attaquante, essayez un ARP MITM
  • il doit lamentablement échouer