Sécurité de couche 2 (port security, DHCP snooping, DAI)
Définition
La sécurité de couche 2 regroupe les mécanismes de protection au niveau du switch pour contrer les attaques qui exploitent les protocoles LAN (ARP, DHCP, MAC). Les trois principaux sont :
- Port Security : limiter les adresses MAC autorisées sur un port.
- DHCP Snooping : filtrer les messages DHCP pour bloquer les faux serveurs DHCP.
- DAI (Dynamic ARP Inspection) : valider les requêtes/réponses ARP contre la table DHCP snooping.
Contexte
Les attaques de couche 2 (ARP spoofing, MAC flooding, DHCP spoofing, VLAN hopping) sont souvent négligées car elles se produisent à l'intérieur du réseau de confiance. Pourtant, elles constituent un vecteur majeur de MITM et d'exfiltration de données. La certification CCST couvre les mécanismes de sécurité L2 de base sur les switches Cisco.
Détails techniques
Port Security
Limite le nombre d'adresses MAC autorisées sur un port d'accès et définit l'action en cas de violation.
Switch(config)# interface GigabitEthernet 0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky
| Paramètre | Description |
|---|---|
maximum |
Nombre max d'adresses MAC autorisées (défaut : 1) |
violation |
Action en cas de dépassement |
mac-address sticky |
Apprend dynamiquement les MAC et les ajoute à la running-config |
Modes de violation :
| Mode | Trafic bloqué | Alerte SNMP/syslog | Port fermé |
|---|---|---|---|
protect |
Oui | Non | Non |
restrict |
Oui | Oui | Non |
shutdown |
Oui | Oui | Oui (err-disabled) |
DHCP Snooping
Différencie les ports trusted (vers le serveur DHCP légitime) et untrusted (tous les autres). Seuls les ports trusted peuvent envoyer des DHCP Offer et DHCP Ack.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20,30
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# ip dhcp snooping trust ! Port vers le serveur DHCP
Switch(config)# interface range GigabitEthernet 0/2 - 48
! Ports untrusted par défaut — rien à configurer
Table de binding DHCP Snooping : enregistre les associations MAC ↔ IP ↔ VLAN ↔ Port, vérifiées par DAI et IP Source Guard.
| Commande | Info |
|---|---|
show ip dhcp snooping |
État global |
show ip dhcp snooping binding |
Table de binding (MAC, IP, VLAN, port, lease) |
Dynamic ARP Inspection (DAI)
Valide les paquets ARP contre la table de binding DHCP Snooping. Seuls les ARP correspondant à une entrée valide sont autorisés.
Switch(config)# ip arp inspection vlan 10,20,30
Switch(config)# interface GigabitEthernet 0/1
Switch(config-if)# ip arp inspection trust ! Uplink vers infra de confiance
Sans DAI : un attaquant envoie un ARP Reply falsifié (IP passerelle → MAC attaquant) → tout le trafic du VLAN passe par lui (MITM).
Avec DAI : le switch vérifie que l'association IP/MAC de l'ARP Reply correspond à la table DHCP snooping → le paquet ARP frauduleux est droppé.
IP Source Guard
Extension de DHCP Snooping : filtre le trafic IP sur un port en vérifiant que l'adresse IP source correspond à la table de binding.
Switch(config-if)# ip verify source
Prévention du VLAN Hopping
| Attaque | Contre-mesure |
|---|---|
| Switch spoofing (DTP) | Désactiver DTP : switchport nonegotiate, forcer switchport mode access |
| Double tagging | Ne pas utiliser VLAN 1 comme VLAN natif, configurer un VLAN natif dédié et inutilisé |
Récapitulatif des protections L2
| Mécanisme | Attaque contrée | Dépendance |
|---|---|---|
| Port Security | MAC flooding | Aucune |
| DHCP Snooping | DHCP spoofing | Aucune |
| DAI | ARP spoofing | DHCP Snooping |
| IP Source Guard | IP spoofing | DHCP Snooping |
switchport nonegotiate |
VLAN hopping (switch spoofing) | Aucune |
| VLAN natif non-1 | VLAN hopping (double tagging) | Aucune |
Exemple concret
Scénario : un hôtel offre du WiFi via un switch d'accès avec 100 ports. Un client malveillant tente un ARP spoofing pour intercepter les connexions des autres clients.
- Port Security : chaque port est limité à 2 MAC (PC + téléphone IP), mode
restrict. - DHCP Snooping activé sur le VLAN clients (VLAN 100). Le seul port trusted est l'uplink vers le serveur DHCP.
- DAI activé sur le VLAN 100. L'ARP Reply frauduleux du client malveillant ne correspond à aucune entrée dans la table de binding → le paquet est droppé.
- Le switch envoie un log syslog :
%SW_DAI-4-DHCP_SNOOPING_DENY: ARP not permitted on Gi0/37, VLAN 100. - L'administrateur identifie le port et le désactive → l'attaque est neutralisée.