Blog clemanet

Sécuriser son réseau Cisco : DHCP Snooping, Dynamic ARP Inspection et IP Source Guard

Écrit par

Albert

dans

Dans un réseau d’entreprise, les attaques de type DHCP rogue, ARP spoofing ou usurpation d’adresse IP sont fréquentes et simples à réaliser. Les switchs Cisco proposent plusieurs mécanismes de sécurité de niveau 2 pour se protéger efficacement.
Dans cet article, nous allons voir comment configurer :

  • DHCP Snooping
  • Dynamic ARP Inspection (DAI)
  • IP Source Guard

Ces trois fonctionnalités fonctionnent ensemble et permettent de renforcer considérablement la sécurité d’un réseau d’accès.

1. Objectif du DHCP Snooping

Le DHCP Snooping a deux rôles principaux :

  1. Empêcher les serveurs DHCP non autorisés (rogue DHCP) d’attribuer des adresses IP aux utilisateurs.
  2. Construire une table de correspondance IP / MAC / Port, utilisée par d’autres mécanismes de sécurité comme :
    • Dynamic ARP Inspection
    • IP Source Guard

DHCP Snooping distingue deux types de ports :

  • Trusted : ports autorisés à émettre du DHCP server (uplinks, ports vers serveurs DHCP)
  • Untrusted : ports utilisateurs (par défaut)

2. Activer le DHCP Snooping

Dans cet exemple, on active DHCP Snooping sur les VLANs 1 à 10, et on désactive l’insertion automatique de l’option 82 (sauf si vous en avez besoin pour de la supervision DHCP).

switch(config)# ip dhcp snooping
switch(config)# ip dhcp snooping vlan 1-10
switch(config)# no ip dhcp snooping information option

💡 Conseil : n’activez DHCP Snooping que sur les VLANs utilisant réellement DHCP.
L’activer sur un VLAN configuré en IP statique peut bloquer des flux.

3. Configurer les ports Trusted / Untrusted

Il faut maintenant déclarer quels ports sont autorisés à relayer les réponses DHCP.

🔹 Exemple : port uplink vers le routeur ou serveur DHCP

switch(config)# interface gigabitEthernet0/1
switch(config-if)# ip dhcp snooping trust
switch(config-if)# ip dhcp snooping limit rate 100

💡 Limite recommandée : 10 à 20 paquets/s sur un port utilisateur
100 pps est adapté pour un uplink.

Tous les autres ports restent untrusted (comportement par défaut).

4. Vérifier la configuration du DHCP Snooping

switch# show ip dhcp snooping

On y retrouve notamment :

  • VLANs protégés
  • Ports trusted
  • Option 82 activée ou non
  • Règles de taux

5. Table de correspondance DHCP Snooping

Cette table enregistre pour chaque appareil :

  • Adresse MAC
  • Adresse IP attribuée
  • VLAN
  • Port

Elle constitue la base de la sécurité L2 :

switch# show ip dhcp snooping binding

Exemple :

MacAddress          IpAddress       Lease(sec)  Type            VLAN  Interface
00:1C:45:65:12:34   192.168.1.9     43059       dhcp-snooping   4     FastEthernet0/3

6. Dynamic ARP Inspection (DAI)

Le Dynamic ARP Inspection protège contre les attaques type ARP spoofing ou ARP poisoning.

Il s’appuie entièrement sur la table DHCP Snooping pour vérifier que chaque paquet ARP correspond bien à une association IP/MAC valide.

Activation pour un VLAN :

switch(config)# ip arp inspection vlan 10

Déclarer un port trusted (uplink / trunk)

switch(config)# interface gigabitEthernet0/1
switch(config-if)# ip arp inspection trust

⚠️ Attention importante :
Les ports trunk doivent toujours être déclarés en trusted, sinon tout le trafic ARP sera bloqué.

Vérification :

switch# show ip arp inspection vlan 3

7. IP Source Guard : contre l’usurpation d’adresse IP

L’option IP Source Guard permet d’empêcher un client d’utiliser une adresse IP qui ne lui appartient pas.

Elle se base elle aussi sur la table DHCP Snooping et peut fonctionner en deux modes :

  • IP uniquement
  • IP + MAC (mode le plus strict)

Activation :

switch(config)# interface fa0/7
switch(config-if)# ip verify source

Vérification :

switch# show ip verify source

8. Bindings manuels (optionnel)

Pour les équipements configurés en IP statique, il est possible de créer un binding permanent :

switch(config)# ip source binding 00:1A:12:34:12:34 vlan 3 192.168.10.15 interface fastEthernet0/6

9. IP Source Guard + Port Security (mode avancé)

Pour l’association stricte IP + MAC + Port :

switch(config-if)# switchport port-security
switch(config-if)# ip verify source port-security

Conclusion

Les fonctionnalités DHCP Snooping, Dynamic ARP Inspection et IP Source Guard permettent de sécuriser efficacement un réseau d’accès contre les attaques classiques de niveau 2.

Une configuration bien pensée se base sur ce trio :

  1. DHCP Snooping → construit la table MAC/IP/Port
  2. Dynamic ARP Inspection → protège contre ARP spoofing
  3. IP Source Guard → empêche l’usurpation d’adresse IP

Ce sont des mécanismes simples à déployer, mais essentiels pour protéger un réseau moderne.

Article rédigé par un humain, relu et corrigé par une IA.
Bonne configuration !

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus de publications