Security (Port security / DHCP Snooping / ACL)

--- title: Security (Port security / DHCP Snooping / ACL) --- ###### tags: `__ccna_EN` ![](https://i.imgur.com/jOuR7Wn.png) # DHCP Snooping (trust/untrust port) Coputer need to resolv name with Dns Server So we can do it manually or with dhcp dynamic host configuring protocol DHCP = Discover / Request / Offer / ACK Discover = Broadcast ![](https://i.imgur.com/U2g6yEy.png) ![](https://i.imgur.com/5AiBWg6.png) Which port have to be Trusted status ? ![](https://i.imgur.com/FHQOPTG.png) DHCP option 82 = no ip dhcp snooping info option Option 82: ![](https://i.imgur.com/J7OJBzC.png) https://www.ionos.fr/digitalguide/serveur/securite/dhcp-snooping/ ## LAB 1) 1 Switch 2) 1 Good DHCP SERVER 3) 1 bad DHCP SERVER 4) 2 clients ![](https://i.imgur.com/o6xjgvQ.png) Switch ![](https://i.imgur.com/jx0T15d.png) Désactivation de l'option 82 du dhcp pour **lab** Activer le DHCP snooping sur le VLAN 1 ![](https://i.imgur.com/2l7FYyI.png) ![](https://i.imgur.com/UIrRVx7.png) L'ensemble des ports sont en UNTRUSTED Activation du port trust sur fa0/1 ![](https://i.imgur.com/lBpDacc.png) Vérification: ![](https://i.imgur.com/PfVkCDp.png) Activation du dhcp sur les clients Vérification DHCP snooping ![](https://i.imgur.com/vwuTv2e.png) ![Uploading file..._t6ccbgkti]() Conclusion En mettant en place le DHCP snooping, on limite la diffusion des requêtes DHCP au port Trust ce qui permet de protéger le réseaux contre les requêtes d'un rogue DHCP server (accidentellement ou volontairement) ## SOURCE GUARD Méthode de sécurité permettant d'empecher les IP ou Mac@ de se connecter sur le réseaux. On applique le source guard sur un 1 port ![Uploading file..._dxkk6g68c]() Ici, Si l'ip ou @mac ne correspond pas aux informations enregistrées alors le msg est dropped IP SOURCE ![Uploading file..._2gv29h60l]() # ACL - ACCESS CONTROL LIST On distingue 2 types d'ACL. les ACL standard les ACL étendues (possibilité d'effectué une acl sur un protocole ip, TCP/UDP/ICMP/..) Based upon the source host & Network **IP** # ACL concept Préparation de l'ACL Planifier et comprendre ce qu'il y a faire. Oraganiser une acl Permit / deny Liste par defaut 10/20/30 Positionnement en entrée ou sortie ? inbound/outbound ![](https://i.imgur.com/3kWGN7p.png) ## Wildcard masks concept Concept utilisé dans OSPF. il utilise le masque inversé ![](https://i.imgur.com/Gq9bRjf.png) ## ACL Standard 1-99 & 1300-1999 Basé seulement sur la source N'est pas basé sur la destination / Port TCP-UDP / Couche 3 Osi Modele: > 1-Plan > 2-Create list > 3-Apply ![](https://i.imgur.com/MvSqmxP.png) ![](https://i.imgur.com/Y293QMI.png) Creation d'une ACL standard > access-list 1 deny host 10.16.0.10 > access-list 1 permit any > > #ip access-group 1 in/out > > int gig0/0 > ip access-group 1 in ## LAB ![](https://i.imgur.com/K3r15iB.png) Dans ce tp, on souhaite autoriser le traffic vers le R2 seulement pour P1/PC2/PC3 Nous allons donc appliquer une règle ACL sur l'@ f0/0 en entrée On autorise les 3 ip et ensuite on refuse tout le reste ![](https://i.imgur.com/rUUxf09.png) On applique l'ACL 50 sur l'interface G0/0 de R1 (F0/0 dans le schéma) en sortie **out** SUR R1 ![](https://i.imgur.com/3hmrkYg.png) ![](https://i.imgur.com/j0UqHB4.png) ## ACL ETENDUE 100-199 & 2000-2699 Basé ![](https://i.imgur.com/Nvu2UfR.png) ![](https://i.imgur.com/BJ7nTCf.png) ![](https://i.imgur.com/opxTqbf.png) ![](https://i.imgur.com/3VakEyU.png) ![](https://i.imgur.com/Gswdvpr.png) ![](https://i.imgur.com/dLPlPTU.png) ![](https://i.imgur.com/IYcF32l.png)