Network. Практика №5. Безопасность локальной сети.

# Network. Практика №5. Безопасность локальной сети. *Арина Алексеенко* **Топология сети для лабораторной работы №5:** ![](https://i.imgur.com/tpf0jHG.png) **Настройка оборудования.** Настройка портов на коммутаторе: ![](https://i.imgur.com/Uvf7Maw.png) Настройка vlan'ов на файерволле: ![](https://i.imgur.com/C42HNsv.png) ![](https://i.imgur.com/sVjigHE.png) ![](https://i.imgur.com/FGCau27.png) ![](https://i.imgur.com/glAcpLd.png) ![](https://i.imgur.com/Zp6RAYp.png) ![](https://i.imgur.com/S0GECUB.png) ![](https://i.imgur.com/6mQxOuI.png) ![](https://i.imgur.com/Wg0BdAi.png) ![](https://i.imgur.com/87ze9er.png) ![](https://i.imgur.com/OYxb7Lx.png) ![](https://i.imgur.com/1sy3tUA.png) ![](https://i.imgur.com/Nvop8Jm.png) ![](https://i.imgur.com/dVIKeJd.png) ![](https://i.imgur.com/MiiKECr.png) ![](https://i.imgur.com/35Nm37a.png) ![](https://i.imgur.com/Hs1VlYG.png) Пробросим порт до KALI-MITM в настройках NAT. ![](https://i.imgur.com/Z4H36Yr.png) // up /usr/bin/ip/ link set eth1 promisc on Донастроим порты на коммутаторе: ![](https://i.imgur.com/R7e2SSl.png) ### 1. Атаки на DHCP. Настройка защиты на коммутаторе от Rogue DHCP Server и от DHCP starvation. DDoS атака состоит в том, чтобы заполнить очередь в discovery запросах DHCP до отказа сервиса в обслуживании. Защита применяется путем ограничения числа таких запросов. ![](https://i.imgur.com/P0VSjHo.png) **Атака с утилиты yersinia: отправка discovery запросов.** ![](https://i.imgur.com/uLVi9R5.png) Так как ранее на коммутаторе мы назначили ограничение на 15 DHCP запросов, атаку c kali провести не удастся. Попробуем провести ту жа атаку с KALI-MITM, там ограничесний у нас не стоит, и файерволлу прилетает огромное количество discovery DHCP запросов. ![](https://i.imgur.com/kSCSYYI.png) **DHCP-starvation - заполнение доступного пула ip-адресов.** > python3 starvit.py -i eth0 -t 192.168.1.0/24 -start 100 -end 199 -dst_mac 50:00:00:05:00:01 Видим, что весь пул ip-адресов с 100 по 199 был заполнен, причем с разными активными МАС-адресами. ![](https://i.imgur.com/7p1duZX.png) До: ![](https://i.imgur.com/Fwk3ZSo.png) После: ![](https://i.imgur.com/iw0m6Be.png) Wireshark: ![](https://i.imgur.com/IM9PHuB.png) ### 2. Атака VLAN hopping. Настройка защиты на коммутаторе от данного типа атаки Ход атаки был представлен в практической работе №2. **Защита:** В коммутаторах Cisco по умолчанию порт работает не в режиме mode access и не в режиме mode trunk, таким образом, на порту работает протокол DTP (Dynamic Trunk Protocol). В такой ситуации стоит атакующему «притвориться» коммутатором, как между ними будет установленно транковое соединение, и соответственно будут доступны VLAN, сконфигурированные на коммутаторе, и после чего передать данные в другой VLAN не составит труда. Бороться с этим легко. Достаточно ужно все используемые интерфейсы коммутатора принудительно перевести в режимы access и trunk, где это положено. Неиспользуемые порты необходимо перевести в shutdown, и перенести их в несуществующий VLAN, который будет известен только данному коммутатору, т.е. не передаваться по trunk-портам другим коммутаторам. У нас это уже настроено: ![](https://i.imgur.com/3yL7ASM.png) ### 3. Атака CAM-table overflow. Настройка защиты на коммутаторе от CAM-table overflow Реализация атаки CAM-table overflow: ![](https://i.imgur.com/CnmS48m.png) ![](https://i.imgur.com/Z7IFtpL.png) Установим в настройках port-security максимально количество MAC-адресов - 5. > Switch#interface fa0/1 – заходим в режим конфигурации порта > Switch(config-ig)#switchport mode access – делаем порт access > Switch(config-ig)#switchport port-security – включаем port-security > Switch(config-ig)#switchport port-security maximum 5 – задаем максимальное количество адресов на порту > Switch(config-ig)#switchport port-security mac-address sticky – включаем sticky изучение Protect - когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае. Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса. После повторного запуска атаки, во-первых, видим предупреждение о злоумышленном вмешательстве с интерфейса e0/3, во-вторых, таблица МАС-адресов не переполнилась. ![](https://i.imgur.com/rPEMsCf.png) ### 4. Aтакa MAC-spoofing. Настроить защиту от атаки MAC-spoofing, используя Port Security Защита: > switchport port-security maximum 1 > - один разрешенный МАС-адрес для порта > switchport port-security violation shutdown > - защита от злоумышленного вмешательства Видим, что защита отработала: ![](https://i.imgur.com/3o8gzlB.png) ### 5. ARP-spoofing ![](https://i.imgur.com/Mfs9VrY.png) ![](https://i.imgur.com/G5pRV8O.png) **Настроим технологию защиты ARP-inspection и DHCP snooping**: ![](https://i.imgur.com/cea7vnW.png) ![](https://i.imgur.com/18gvu7Y.png) IP source guard Fail 2 ban Создадим адрес-лист ![](https://i.imgur.com/gWGJ6hy.png) ![](https://i.imgur.com/G0mHZ4i.png) ![](https://i.imgur.com/SFjnnAM.png) После настройки arp-inspection kali не может перехватить трафик TCP и TLS. ![](https://i.imgur.com/90pXGk9.png) Свитч сообщает нам, что производится атака с порта eth3. ![](https://i.imgur.com/JNtzHm3.png) ### 6. Port-Security **Port Security** - это технология на основе MAC адресов. Какие подключенные компьютеры могут передавать данные через конкретный сетевой интерфейс коммутатора. Используется для: 1. Предотвращения несонкционированной смены MAC-адреса сетевого устройства или подключения к сети 2. Предотвращение атак направленных на переполнение таблицы коммутации Включим интерфейс на свитче до кали: ![](https://i.imgur.com/Xy06lHm.png) Настроили bridge интерфейсы на 10 и 20 VLAN'ах. ![](https://i.imgur.com/Sa0Nk5l.png) Найти все VLAN организации из дампа трафика: ![](https://i.imgur.com/BOcvr8T.png) Видим прилетающие из VLAN 10 запросы на KALI-MITM. ![](https://i.imgur.com/lKG3O7f.png) ### 7. Настроить ACL. - KALI имеет доступ куда угодно, кроме debian машинки по протоколу HTTP Настроили порты на свитче, VLAN'ы 10 и 20 на win7 и debian соответственно и NAT. Дали роутеру выход в сеть. Включили acces-lists. ![](https://i.imgur.com/os65jHF.png) ![](https://i.imgur.com/AOSU9QA.png) ![](https://i.imgur.com/Kn0uFHl.png) ![](https://i.imgur.com/IeybVok.png) ![](https://i.imgur.com/zb9Kvrl.png) Запредили доступ по TCP для debian ![](https://i.imgur.com/A3dU0nb.png) Настроили сеть на kali ![](https://i.imgur.com/bgmfywv.png) Видим, что по HTTP не можем обратиться к Debian ![](https://i.imgur.com/stpGmt9.png) - Win-7 машинка имеет доступ только в интернет и в VLAN-1 Настройка acl: ![](https://i.imgur.com/fKjyKJK.png) Результат: ![](https://i.imgur.com/ftyRlM3.png) - Debian машинка имеет доступ только в интернет Настройка acl: ![](https://i.imgur.com/yO87TW3.png) Результат: ![](https://i.imgur.com/lQvdw4v.png)