# Макаров Дмитрий Владиславович - Networks basic. Практическая работа №5. Безопасность локальной сети [toc] # Безопасность локальной сети ==Первоначальная топология== ---  --- Настройка **роутера** ---  --- Настройка интерфейсов **Kali-MITM** ---  --- Настройка **Firewall** ---  --- Настройка **Debian** ---  --- Найстройка **Windows 7** ---  --- ## Часть 1. Атака ARP-Spoof и атака на DHCP ### Атака ARP-Spoof 1.1 Узнаем адрес **Win7** `nmap -sn 192.168.10.0/24` ---  --- 1.2 Проведём *ping* и откроем **ARP** таблицу, что `arp -a` ---  --- 1.3 Проведём **arp-spoofing атаку** `arpspoof -i eth0 -t 192.168.10.10 -r 192.168.10.254` ---  --- 1.4 Зайдём на сайт **Google** в **Windows 7** и помощью **Wireshark** увидим трафик в **Kali Linux** ---  --- 1.5 Настроим защиту от **arp-spoofing** в **Switch** ---  --- 1.6 **Wireshark** перествл перехватывать трафик, видны только **arp-пакеты** ---  --- ### Атака на DHCP 1.7 Запустм **Yersinia** и установим **MAC-адрес** ---  --- 1.8 Выберем атаку на **DHCP** - **sending Discover packet** ---  --- 1.9 Запустим атаку ---  --- 1.10 В Настроим защиту от **DHCP-snooping** видим большое количество Настроим защиту от **DHCP-snooping** ---  --- 1.11 Запустим атаку через **DHCPStarvator** `python strvit.py -i eth0 192.168.1.0/24 -start 1 -end 254 -dst_mac 50:00:00:05:00:01` ---  --- 1.12 Раздел *Leases* в **Firewall** заполнился ---  --- 1.13 В трафике видны запросы *ACK*, *Request* и *NAK* по **DHCP** ---  --- 1.14 Настроим защиту от **DHCP-snooping** ---  --- 1.15 Настроим защиту от Настроим защиту от **DHCP-starvation** ---  --- ## Часть 2. Атака VLAN hopping 2.1 Настроим сабинтерфейсы в **KALI-MITM** `nano /etc/network/interfaces` ---  --- 2.2 Слушаем **vlan 10** ---  --- 2.3 Слушаем **vlan 20** ---  --- 2.4 Настроим защиту от **VLAN-hopping** ---  --- ## Часть 3. Атака CAM-table overflow 3.1 Данная атака переполняет таблицу коммутаторов. Установим необходимые утилиты и проведём атаку `macof -i eth0` ---  --- 3.2 В **Switch** видим, что таблица переполнена ---  --- 3.3 В **Wireshark** видим большое количество **IPv4** запросов ---  --- 3.4 Настроим защиту от **CAM-table overflow** ---  --- 3.5 Просмотрим таблицу **MAC-адресов** полсе атаки ---  --- ## Часть 4. Атака MAC-spoofing 4.1 Добавим в топологию ещё одну **Linux** машину ---  --- 4.2 Поменяем **MAC-адрес** **Kali-MITM** на тот, что присвоен **Linux**. Теперь у них одинаковые адреса, а значит трафик должен идти на **Kali**, так как **MAC-адрес** не привязан к интерфейсу. Просмотрим таблицу коммутации и убедимся в этом ---  --- 4.3 Настроим защиту от **MAC-spoofing**, привязав **MAC-адрес** к интерфейсу ---  --- ## Часть 5. Настройка ACL :::info :information_source: **Access Control List** разрешает или запрещает передачу трафика ::: 5.1 Изменим топологию сети ---  --- 5.2 Настроим **VLAN**ы в **Switch** ---  --- 5.3 Настроим конфигурацию интерфейсов на **роутере** ---  --- 5.4 Настроим на **роутере** интерфейс *e0/1* для выхода в **интернет** ---  --- 5.5 Настроим **NAT** ---  --- 5.6 Настроим сеть **Win7** ---  --- 5.7 Проверим выход в интернет ---  --- 5.8 Настроим сеть **Kali Linux** ---  --- 5.9 Проверим выход в интернет ---  --- 5.10 Настроим сеть **Debian** ---  --- 5.11 Проверим выход в интернет и установим **nginx** ---  --- 5.12 С **Win7** перейдём на адрес **Debian** ---  --- 5.13 Добавляем новый *Access Control List* для **Kali Linux**, чтобы у неё не было доступа к **Debian** по протоколу *HTTP* ---  --- 5.14 Проверим, что **Kali** не имеет доступ ---  --- 5.15 Настроим *ACL* так, чтобы **Win7** имеел доступ только в интернет и **VLAN 1** ---  --- 5.16 Проверяем доступы на **Win7** ---  --- 5.17 Настроим *ACL* так, чтобы **Debian** имеел доступ только в интернет ---  --- 5.18 Проверяем доступы на **Debian** ---  --- 5.19 Конфигурация *ACL* роутера ---  ---