Meraki : Dynamic ARP Inspection (DAI)

Meraki inclut dans son firmware MS10.0 (dédié aux switches) sorti en Juin 2018 .. une fonction très intéressante liée à la sécurité réseau.. notamment la protection contre les attaques par spoofing ARPC’est du chinois pour vous? On explique.

ARP ça veut dire Address Resolution Protocol, c’est – en gros – le système qui aide les appareils de votre réseau à envoyer du trafic au bon endroit, plus concrètement c’est le liant entre l’adresse MAC d’un appareil et son IP.  Et les switches – entre autres – maintiennent une table ARP , un cache qui leur permet de vite réaliser leurs opérations.

L’ARP spoofing consiste à diffuser un paquet ARP qui change la table ARP pour rediriger le trafic destiné à une machine.. vers une autre. En gros je suis Gonzague mais je prétends être Pierre pour intercepter ce qui est destiné à Pierre. On parle d’ « ARP Poisoning » et ça s’attaque au niveau 2 (Layer 2) du réseau.

Alors oui, l’ARP c’est un peu mal fichu, ça serait idéal dans un monde où on peut faire confiance à tous les acteurs présents sur un réseau ce qui est rarement le cas. L’ARP Spoofing est un moyen très simple de mettre par terre un réseau puisqu’il permet de faire du « man in the middle« , on peut se faire passer pour le routeur, voler des données en se plaçant entre deux hôtes..

Comment se prémunir de l’ARP Spoofing?

La fonction développée par Cisco qui se nomme DAI – Dynamic ARP Inspection – vient faire quelque chose d’assez simple et intelligent: elle gère un état de confiance sur les ports des switches et examine les requêtes & réponses ARP qui circulent sur les ports non autorisés.

En vérifiant si les données des paquets ARP correspondent aux informations émises par le serveur DHCP du réseau pour décider de laisser ou non transiter ces paquets. Ainsi un hôte propageant de fausses informations ARP aura plus de mal à se faire une place sur le réseau.

Attention pour que cette fonction soit efficace, il faut un réseau basé sur le DHCP 🙂

Vous avez un réseau équipé de switches Cisco Meraki des modèles MS210, MS225, MS250, MS350, MS400 ? Vous pouvez activer cette fonction gratuitement. Apprenez à la configurer ici.