Занятие 5. Безопасность локальной сети

--- tags: Network Basic --- # Занятие 5. Безопасность локальной сети ## Практическая работа №5 ### Часть 1. Первоначальная настройка * Собрали топологию ![](https://i.imgur.com/TrTgoLq.png) * Настроили VLAN на Switch ![](https://i.imgur.com/jVQ8t1r.png) * Настроили интерфейсы на Kali MITM ![](https://i.imgur.com/1PVAeMK.png) * Настроили Firewall ![](https://i.imgur.com/9jSQZvu.png) * Добавили метки для VLAN ![](https://i.imgur.com/lDutKQC.png) ![](https://i.imgur.com/Ob2KnDj.png) * Настроили правила ![](https://i.imgur.com/VxLLuin.png) ![](https://i.imgur.com/0xgULe4.png) * Настроили интерфейсы eth0/3 и 1/0 (Смотрят на Kali Linux) ![](https://i.imgur.com/nnIO16f.png) * Kali Linux получила адреса по DHCP ![](https://i.imgur.com/ibOCwc7.png) ### Часть 2. MAC-Spoofing * Проверили таблицу MAC-адресов на коммутаторе ![](https://i.imgur.com/YnyayJo.png) * Изменили MAC-адрес на MAC-адрес ВМ Win7 ![](https://i.imgur.com/fhbprUH.png) * Проверили таблицу маршрутизации. Видно, что на int e0/3 теперь MAC-адрес=5000.0002.0000 ![](https://i.imgur.com/O5UHP7E.png) * С Debian отправляем ping на IP-адрес Win7 ![](https://i.imgur.com/TUA0afw.png) * Wireshark фиксируем трафик ![](https://i.imgur.com/kihB34J.png) #### Защита от MAC-Spoofing * Задали на int e0/3 статический MAC-адрес ![](https://i.imgur.com/6TAZJm3.png) * Снова изменили MAC-адрес Kali Linux и запустили ping. Связь заблокирована ![](https://i.imgur.com/hsOycNB.png) * Коммутатор сообщил об атаке и таблица MAC-адресов не изменилась ![](https://i.imgur.com/7YzHGzp.png) ### Часть 3. ARP-Spoofing * На Kali MITM настроили forwarding трафика ![](https://i.imgur.com/k2edtMy.png) * Запустили атаку ![](https://i.imgur.com/tmRUno0.png) * В Wireshark обнаружили трафик от адреса 192.168.10.10 ![](https://i.imgur.com/jvTSDLk.png) #### Защита от ARP-Spoofing и DHCP-Starvation * Настроили Switch ![](https://i.imgur.com/w2x96p4.png) ![](https://i.imgur.com/DlRlpJF.png) ![](https://i.imgur.com/O0IltdC.png) * После запуска атаки в Wireshark не удалось перехватить трафик, видны только ARP-кадры ![](https://i.imgur.com/MOU3nfD.png) * Switch сигнализирует об атаке ![](https://i.imgur.com/CN9I5b4.png) ### Часть 4. Атака на DHCP * Запустили Yersinia и установили MAC-адрес Firewall ![](https://i.imgur.com/fzPmPAb.png) * Запустили атаку ![](https://i.imgur.com/kkYR4xs.png) * В Wireshark обнаружили некоторое количество пакетов ![](https://i.imgur.com/IZHrD1t.png) * Данные в разделе "Leases" не изменились ![](https://i.imgur.com/WfkHMss.png) * После отключения настройки (dhcp snooping) снова запустили атаку ![](https://i.imgur.com/5ep6eT5.png) * В Wireshark зафиксировали огромное количество пакетов ![](https://i.imgur.com/ag0UPzc.png) * Установили DHCPStarvator ![](https://i.imgur.com/qSBxbQB.png) * Запустили атаку ![](https://i.imgur.com/Z9E1MbR.png) * В трафике видно большое количество DHCP-запросов ![](https://i.imgur.com/J7OXyzs.png) * Раздел "Leases" заполнился ![](https://i.imgur.com/q4sDBPA.png) ### Часть 5. CAM-table overflow * Запустили атаку ![](https://i.imgur.com/ReSP4a5.png) * В трафике видим ipv4 пакеты ![](https://i.imgur.com/aevr8YU.png) * Таблица MAC-адресов на коммутаторе заполнилась ![](https://i.imgur.com/XDeKxBx.png) #### Защита от CAM-table overflow * Настроили port-security ![](https://i.imgur.com/ruL0WrT.png) * Снова запустили атаку ![](https://i.imgur.com/aA9opUI.png) * Количество MAC-адресов не изменилось ![](https://i.imgur.com/RdoTSIm.png) * А интерфейс перешел в err-disabled ![](https://i.imgur.com/3KRrK1X.png) * Настроили "поведение" интерфейса на отброс пакетов ![](https://i.imgur.com/IFeqBzo.png) * После запуска атаки коммутатор сигнализирует об этом и количество MAC-адресов не увеличивается ![](https://i.imgur.com/XKaMnrw.png) ### Часть 6. VLAN-Hopping * Настроили сабинтерфейсы ![](https://i.imgur.com/CEH68S4.png) * Запустили Wireshark и перехватили трафик из VLAN 20 ![](https://i.imgur.com/Pge1rhB.png) * Также можно обнаружить номера VLAN в дампе трафика ![](https://i.imgur.com/dmGjEJD.png) #### Защита от VLAN-Hopping * Отключить протокол DTP (nonegotiate); * Не использовать VLAN'ы по умолчанию; * Отключить неиспользуемые порты. ### Часть 7. Настройка ACL * Собрали топологию ![](https://i.imgur.com/J2u7nQz.png) * Наастроили маршрутизатор ![](https://i.imgur.com/eyMRuV4.png) ![](https://i.imgur.com/sIZYNOY.png) * Настроили коммутатор ![](https://i.imgur.com/c90ZDPf.png) * Настроили сеть на Win7 ![](https://i.imgur.com/4hHCNTb.png) * Настроили сеть на Kali Linux ![](https://i.imgur.com/gMcD2M3.png) * Настроили сеть на Debian ![](https://i.imgur.com/Xa5ni1n.png) * Также был установлен nginx ![](https://i.imgur.com/NbQzkfx.png) * С Kali Linux доступ на веб-ресурс отсутствует ![](https://i.imgur.com/t6k2brZ.png) * Пинг успешно проходит ![](https://i.imgur.com/lyWK6Qk.png) * Win7 имеет доступ в интернет и VLAN1. К Debian доступа нет ![](https://i.imgur.com/ZRPdtAU.png) * Debian не имеет доступ в VLAN1,10 ![](https://i.imgur.com/BKvJKnM.png) * В интернет доступ есть ![](https://i.imgur.com/NEWawVQ.png)