Network basics 5

# Network basics 5 # Практика 5 Безопасность локальной сети *Выполнил Андреев Игорь Константинович* ## Часть 1 - Атака на DHCP. Rogue DHCP Server, DHCP starvation. ### 1.1 Общая топология сети ![](https://i.imgur.com/cT2XsLH.png) ### 1.2 Настрока устройств (пока статическая маршрутизация, далее будет через dhcp) ### Switch ![](https://i.imgur.com/6zwzA5m.png) ### Win-7 ![](https://i.imgur.com/m94VeAp.png) ### Kali ![](https://i.imgur.com/rZoxLaZ.png) ### Debian ![](https://i.imgur.com/CWtiTz4.png) ### Router ![](https://i.imgur.com/MJedYzK.png) ![](https://i.imgur.com/KFflwY5.png) ### 1.3 Сеть поднята! ![](https://i.imgur.com/IhKCqq2.png) ### 1.4 DHCP Starvation ### Создаём dhcp сервер на router ![](https://i.imgur.com/Zs0O18X.png) ### scapy скрипт ![](https://i.imgur.com/wZMm1Hq.png) ![](https://i.imgur.com/CHc9fO9.png) ### Wireshark с порта kali ![](https://i.imgur.com/BfQ2tEV.png) ### Таблица DHCP переполнена! ![](https://i.imgur.com/PFnZ5H8.png) ### 1.5 DHCP Rogue server ### Воспользуемся ettercap ![](https://i.imgur.com/aSJQb4m.png) ### Rogue server запущен ![](https://i.imgur.com/cmdHnsQ.png) ### Удаляем текущий ip >ipconfig /release ![](https://i.imgur.com/5i2iQnK.png) ### Получаем новый от поддельного сервера! > ipconfig /renew ![](https://i.imgur.com/t8vCMET.png) ### 1.6 Защита от этих атак. DHCP Snooping ### Для этого настроим switch >en >conf t >ip dhcp snooping >ip dhcp snooping vlan [vlan id] ![](https://i.imgur.com/KukAj5A.png) > int [trusted port] > ip dhcp snooping trusted ![](https://i.imgur.com/ZAD1zxr.png) ### Атака больше не работает ![](https://i.imgur.com/NbW8kh9.png) ## Часть 2 - Vlan Hopping ### 2.1 Сначала включим режим dynamic desirable для успешной атаки ![](https://i.imgur.com/jA1ggBq.png) ### 2.2 Включаем отладочный режим для просмотра входящих DTP-пакетов ![](https://i.imgur.com/Av4c2PR.png) ### 2.3 Используем yersinia --> dtp attack --> enable trunking ![](https://i.imgur.com/hmmpEdI.png) ### 2.4 Видим, что пакеты начали пересылаться ![](https://i.imgur.com/ufwQRwI.png) ### 2.5 Теперь мы trunk моде ![](https://i.imgur.com/G03Cjsm.png) ### 2.6 Выполняем следующие команды и теперь мы можем пинговать vlan 20! ![](https://i.imgur.com/KlioXn3.png) ### Методы защиты ### Атака VLAN Hopping возможна только в тех случаях, когда интерфейсы настроены в режиме транка. Чтобы защититься от подобных атак, нужно принять следующие меры: ### Убедитесь, что порты не настроены на автоматическую работу в режиме транка. Отключите протокол DTP при помощи команды switchport nonegotiate. ### > НИКОГДА не используйте VLAN 1 ### > Отключите и перенесите в неиспользуемый VLAN неиспользуемые порты. ### > Всегда используйте специальный VLAN ID для всех транковых портов. ## Часть 3 - CAM Table overflow ### 3.1 Переполняем таблицу mac адресов ![](https://i.imgur.com/siMD9wc.png) ### 3.2 Защита от cam table overflow > switchport port-security > switchport port-security maximum 5 ![](https://i.imgur.com/s9SsWTv.png) ### 3.3 Атака больше не работает ![](https://i.imgur.com/jrbCmNI.png) ## Часть 4 - Mac spoofing > apt-get update > apt install dsniff ### 4.1 Настраиваем kali > apt-get update > apt install dsniff > nano /etc/sysctl.conf > sysctl -p ![](https://i.imgur.com/O58CzBn.png) ### 4.2 Запускаем arpspoof ![](https://i.imgur.com/dlwhPEe.png) ### 4.3 Перехватываем трафик telnet ![](https://i.imgur.com/wPiZjR9.png) ### 4.4 Защита от arp spoof ### Для защиты нужно использовать dhcp сервер и включенный на коммутаторе ip dhcp snooping для нужных vlan'ов ## Часть 5 - ACL ### 5.1 KALI имеет доступ куда угодно, кроме debian машинки по протоколу HTTP ![](https://i.imgur.com/OwxowK8.png) ### 5.2 Win-7 машинка имеет доступ только в интернет и в VLAN-1 ![](https://i.imgur.com/zOHOfsW.png) ### 5.3 Debian машинка имеет доступ только в интернет ![](https://i.imgur.com/KjYayuy.png) ### 5.4 Вешаем правила на интерфейсы ![](https://i.imgur.com/mcSvWET.png) ### 5.5 Kali пингует всё кроме debian (прописано правилами debian) ![](https://i.imgur.com/pauDXdf.png) ### Debian имеет выход только в интернет ![](https://i.imgur.com/fjH47jE.png) ### Windows не может пинговать debian ![](https://i.imgur.com/7qAtuec.png)