IP Source Guard
Slouží k ochraně před IP spoofing útoky, tzn. útočník uvádí falešnou zdrojovou IP adresu. Může použít IP nějakého uživatele nebo nepoužitou IP daného subnetu. Většinou se tohoto využívá v případě DoS útoků, k zamaskování zdroje tohoto útoku.
Switch musí mít možnost zjistit která MAC adr. náleží ke které IP adr. Využívá DHCP snooping databáze a statických IP source binding záznamů.
Pakety přicházejcí na port mohou být testovány jednou z možností:
- Zdrojová IP se musí rovnat IP adr. v DHCP snooping databázi nebo statickému záznamu, k fitrování provozu je automaticky vytvořen dynamický ACL a aplikován na interface.
- Zdrojová MAC se musí rovnat MAC zjištěné DHCP snoopingem, na portu je použito port-security
Pokud adresa nesouhlasí je paket zahozen. Pro Source Guard je třeba nejdřív zapnout DHCP Snooping, popř. Port-Security, chceme-li kontrolovat zdrojové MAC adresy.
Pro hosty se statickou IP je možno vložit záznam IP Source Binding ručně:
- Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num
Zapnutí Source Guardu na int.:
- Switch(config)# interface type mod/num
- Switch(config-if)# ip verify source [port-security]
- ip verify source ⇒ prověřuje se jen zdrojová IP adresa
- ip verify source port-security ⇒ prověřuje se zdrojová IP i MAC adresa
Source Guard status:
- Switch# show ip verify source [interface type mod/num]
Výpis stat./dyn. záznamů z DHCP Snooping databáze:
- Switch# show ip source bindng [ip-address] [mac-address] [dhcp-snooping | static] [interface type mod/num] [vlan vlan-id]
