Skip to content

Part 3 - IP Source Guard

3. IP source guard

A. Intro

IP Source Guard est une conf qui, comme DAI, repose sur le fait que les switches connaissent les associations IP<>MAC de tout le monde.

Là où DAI ne bloque que les trames ARP illégitimes, IP Source Guard va bloquer n'importe quel paquet IP illégitime.

Ceci rend toute usurpation d'identité sur le réseau impossible.

Note

Pareil que DAI, on active ça sur les switches d'accès.

B. Setup

Conf à faire sur les switches.

Mettez en place du IP source guard sur vos switches

  • ça va être à base de ip verify source pour activer IP source guard sur les interfaces où des clients sont branchés

⚠️⚠️⚠️ WARNING : Avec nos iOS virtuels (les OS Cisco), on a besoin d'ajouter une petite conf supplémentaire pour que ça fonctionne correctement, et ce, partout où vous activer IPSG (IP Source Guard).

ip device tracking maximum 2
switchport port-security maximum 2
ip verify source port-security

C. Proof or lie

Prouvez que ça fonctionne

  • depuis votre machine attaquante, essayez d'envoyer un paquet IP en modifiant votre IP source
  • il doit lamentablement échouer