**Практическая работа №5 Network Basic**

# **Практическая работа №5 Network Basic** ### Задание: 1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation 2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию) 3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow 4) Провести атаку MAC-spoofing. Настроить защиту от атаки MAC-spoofing, используя Port Security 5) **Задание из следующего занятия*. Настроить ACL: - KALI имеет доступ куда угодно, кроме debian машинки по протоколу HTTP - Win-7 машинка имеет доступ только в интернет и в VLAN-1 - Debian машинка имеет доступ только в интернет 6) В отчете необходимо отразить скрин атаки, а также конфигурацию устройства (либо часть конфигурации устройства) - которое было настроено для защиты от атак. Дополнительно в отчете отразить конфигурацию роутера при настройке ACL ## Топология сети ![](https://i.imgur.com/RoThKhw.png) ## 1.Настройка оборудования ### 1.1 Kali mitm ``` apt update apt install bridge_utils ``` ``` nano /etc/network/interfaces ``` ![](https://i.imgur.com/gMBvOIw.png) ``` systemctl restart networking ``` ``` ip a ``` ![](https://i.imgur.com/svzdKLT.png) ### 1.2 Switch настройка интерфейса e0/0 ![](https://i.imgur.com/v8kidZu.png) настройка интерфейса e0/1 ![](https://i.imgur.com/EpLFJ3Z.png) настройка интерфейса e0/2 ![](https://i.imgur.com/qH0X3Is.png) ### 2.Firewall ![](https://i.imgur.com/s59AnvQ.png) ![](https://i.imgur.com/gW8JLDJ.png) ![](https://i.imgur.com/XKhV7xG.png) ![](https://i.imgur.com/00z4Ln8.png) ![](https://i.imgur.com/epeFdVN.png) ![](https://i.imgur.com/EShXU77.png) ### 3.Win7 ![](https://i.imgur.com/tJd0BQi.png) ### 4.Debian ![](https://i.imgur.com/yr9gr8G.png) ![](https://i.imgur.com/sEa4Ypd.png) ## Атака на DHCP отправляем discover пакеты ![](https://i.imgur.com/55RQhO1.png) ![](https://i.imgur.com/P2n5kbY.png) ![](https://i.imgur.com/cireo33.png) пакеты доходят до файрволла ![](https://i.imgur.com/0LFZh4j.png) #### DHCP Starvation на Kali linux запускаем атаку ```sh python3 starvit.py -i eth0 -net 192.168.10.0/24 -start 1 -dst_mac 50:00:00:05:00:01 ``` ![](https://i.imgur.com/sp3GqDj.png) Запускаем Wireshark на файрволле на интерфейсе e1 ![](https://i.imgur.com/TpnhONq.png) Проверяем табличку Leases и видим, что появились адреса ![](https://i.imgur.com/K9AcSL6.png) ## Защита от DHCP starvation Настраиваем защиту на свитче ![](https://i.imgur.com/U8kCn23.png) запускаем атаку и смотрим, что пакеты до файрвола не долетают ![](https://i.imgur.com/DOyE82S.png) на свитче происходит блокирование этих пакетов ![](https://i.imgur.com/pgTcwBN.png) табличка заполнилась 5-ю мак ![](https://i.imgur.com/2GYfF09.png) #### Rogue DHCP Server Запускаем атаку на kali linux на eth0 ![](https://i.imgur.com/zuEZMY6.png) ![](https://i.imgur.com/EZ18vj0.png) Видим большое количество попыток установить соединение Kali Linux c Win7 ![](https://i.imgur.com/xoyEOgr.png) ## Защита от Rogue DHCP Server Защита от Rogue DHCP Server сделана вместе с Port Security ``` ip dhcp snooping trust ``` ## Cam-table overflow Настраиваем Switch ![](https://i.imgur.com/icInYDG.png) смотрим таблицу мак адресов ![](https://i.imgur.com/Vetq4Wx.png) запускаем атаку macof ![](https://i.imgur.com/yuqaA45.png) видим, что атака прошла, табличка заполнена ![](https://i.imgur.com/F8LOnHV.png) ## Защита от Cam-table overflow настраиваем Switch ![](https://i.imgur.com/xZXhqv5.png) смотрим таблицу мак адресов ![](https://i.imgur.com/IserAAP.png) запускаем атаку ![](https://i.imgur.com/D7HMIcg.png) видим, что наш интерфейс в состоянии down ![](https://i.imgur.com/00T0Obs.png) теперь настроим метод реагирования так, чтобы интерфейс не отключался ![](https://i.imgur.com/UTTzDfC.png) запустим снова атаку на kali linux ![](https://i.imgur.com/s2iec2F.png) посмотрим на табличку мак адресов ![](https://i.imgur.com/cMUtyw8.png) посмотрим на состояние интерфейса ![](https://i.imgur.com/9sQLKYY.png) всё прошло успешно, интерфейс не отключается, табличка заполняется только 5 статическими мак адресами ## VLAN hopping настраиваем интерфейсы на kali-mitm ![](https://i.imgur.com/ntIdlN2.png) запускаем атаку и пингуем с устройств из разных VLAN ![](https://i.imgur.com/e5aHpPd.png) ![](https://i.imgur.com/Rlv4CGc.png) видим, что обнаружены VLAN 10 и VLAN 20 ![](https://i.imgur.com/uLzQj43.png) ## Защита от VLAN hopping Защита от VLAN hopping у нас уже настроена, т.к только интерфейс e0/0 работает в режиме trunk, а KALI-MITM у нас как раз на этом интерфейсе, поэтому с неё атака проходит успешно, с Kali linux атака не проходит, т.к порты не настроены на автоматическую работу в режиме транка. ## MAC Spoofing запускаем атаку на kali linux ![](https://i.imgur.com/lWezHvV.png) arp пакеты полетели ![](https://i.imgur.com/DTpEGYz.png) пробуем выйти в интернет с win7 ![](https://i.imgur.com/BpEUXIH.png) видим, что появляется трафик, который мы можем просматривать с kali linux ![](https://i.imgur.com/B54o8JV.png) ## Защита от MAC Spoofing настраиваем Switch ![](https://i.imgur.com/N3BUmmd.png) ![](https://i.imgur.com/lxGPyJo.png) ![](https://i.imgur.com/EqSSzvh.png) Снова запускаем атаку ![](https://i.imgur.com/F9orgjQ.png) в Wireshark ничего нет, после того, как мы зашли в браузер на Win7 ![](https://i.imgur.com/eJeiFVK.png) ## Настройка ACL ### Топология сети ![](https://i.imgur.com/4jBOJJt.png) Настраиваем интерфейсы на свитче ![](https://i.imgur.com/9CxcrnN.png) Настраиваем интерфейсы на роутере ![](https://i.imgur.com/G8uCSNu.png) Настраиваем на роуетере интерфейс e0/1 для выхода в интернет и делаем интерфейс e0/0 full duplex ![](https://i.imgur.com/FyrvWOq.png) На свитче делаем интерфейс e0/0 full duplex ![](https://i.imgur.com/7CZXDdg.png) Проверяем выход в интернет с роутера ![](https://i.imgur.com/dyyE00z.png) Настраиваем NAT на роутере ![](https://i.imgur.com/wBzfHrf.png) Настраиваем сеть на Win7 ![](https://i.imgur.com/Pmti21y.png) Проверяем выход в интернет ![](https://i.imgur.com/a4uC9dp.png) Настраиваем сеть на Kali ![](https://i.imgur.com/ibnOsaN.png) Проверяем выход в интернет ![](https://i.imgur.com/kX4XL6L.png) Настраиваем сеть на Debian ![](https://i.imgur.com/ifKgZxi.png) Проверяем выход в интернет ![](https://i.imgur.com/bbfO466.png) Прописываем на дебиан машинке, чтобы установить NGINX ``` apt update -y && apt install nginx -y ``` С Win7 в браузере переходим на адрес нашей Debian машинки ![](https://i.imgur.com/BIWxqmk.png) Добавляем новую ACL для Kali Linux, чтобы у неё не было доступа к Debian по протоколу HTTP ![](https://i.imgur.com/WNuaRCO.png) Проверяем ![](https://i.imgur.com/oRWSATq.png) ![](https://i.imgur.com/fIHArBV.png) На Win7 работает ![](https://i.imgur.com/v7MfsF3.png) Win7 имеет доступ только в интернет и VLAN 1 ![](https://i.imgur.com/TpGw2K8.png) Проверяем доступ ![](https://i.imgur.com/E9fxttC.png) Делаем настройку для Debian, чтобы он имел доступ только в интернет ![](https://i.imgur.com/bYJZ9s2.png) Проверяем ![](https://i.imgur.com/03VcUY6.png) Конфигурация роутера ![](https://i.imgur.com/UWY5pPO.png)