# Гришанов Матвей Сергеевич – Network Basic Практическая работа 5. Безопасность локальной сети [toc] ## Практическая работа 5 ### 1) Настройка инфраструктуры в соответствии со схемой сети. 1.1 Создаём схему сети.  --- 1.2 Настраиваем сеть на машине KALI-MITM. :::info :information_source: Используемые команды: ``` auto eth0 iface eth0 inet manual auto eth1 iface eth1 inet manual auto br0 iface br0 inet dhcp bridge_ports eth0 eth1 ``` :::  --- 1.3 Делаем trunk на Switch, а также создаём vlan'ы.   --- 1.4 Настраиваем Firewall. Прописываем для новых интерфейсов em1.10 и em1.20 IP-адреса.   --- 1.5 Создаем правила для пропуска трафика в самом Firewall с помощью его web-версии.   --- 1.6 Проверяем доступность интернета на машинах, подключенных к Switch'у.   --- 1.7 Выдаём адреса интерфейсам машины Linux, соединной со Switch'ом. :::info :information_source: Используемые команды: ``` dhclient etho dhclient eth1 ``` :::  1.8 Появились роуты.  --- ### 2) Атака Arp Spoofing 2.1 Проводим атаку Arp Spoofing на машину Linux. :::info :information_source: Используемые команды: ``` arpspoof -i eth0 -t 192.168.10.10 -r 192.168.10.254 ``` :::  --- 2.2 Wireshark фиксирует большое количество ARP трафика.  --- ### 2) Защита от Arp Spoofing 2.3 Защита от Arp Spoofing осуществляется на Switch'е. Прописывается специальная Arp испекция. :::info :information_source: Используемые команды: ``` Switch(config)#int e0/1 Switch(config-if)#arp inspection limit rate 100 Switch(config-if)#ip arp inspection trust Switch(config-arp-nacl)#permit ip host 192.168.10.10 mac host 5000.0002.0000 Switch(config-arp-nacl)#permit ip host 192.168.10.10 mac host 5000.0005.0001 Switch(config)#ip arp inspection vlan 10 ``` ::: Аналогичные команды используются и на других интерфейсах. --- ### 3) Атака на DHCP 3.1 Отправляем DISCOVER пакеты с помощью yersinia.  --- 3.2 В DHCP Leases файрволла не фиксируется проводимая атака.  --- 3.3 Wireshark видит вредоносный трафик.  --- ### 4) DHCP Starvation 4.1 Проводим атаку DHCP Starvation. :::info :information_source: Используемые команды: ``` python3 starvit.py -i eth0 -net 192.168.10.0/24 -start 1 -end 254 -dst_mac 50:00:00:05:00:01 ``` :::  --- 4.2 Wireshark фиксирует вредоносный трафик.  --- 4.3 В Firewall заполнились все адреса из промежутка DHCP, которые не были зарезервированы за машинами.   --- ### 5) Защита от DHCP атак. Защита от атак **DHCP** на **Switch**. Благодаря этой мере защиты на подключенных к **Switch** машинах невозможно провести атаку из вне, так как максимальное количество запросов - 15. :::info :information_source: Используемые команды: ``` Switch(config)#int e0/1 Switch(config-if)#dhcp snooping limit rate 15 Switch(config)#ip dhcp snooping trust ``` ::: ### 5) Защита от атак типа DHCP Starvation и DHCP Rogue. :::info :information_source: Используемые команды: ``` Switch(config)#int e0/1 Switch(config-if)#switchport port-security maximum 5 Switch(config)#ip dhcp snooping trust ``` :::  --- ### 6) VLAN hopping 6.1 Прописываем **bridge** на **KALI-MITM**.  --- 6.2 В **Wireshark** фиксируется захват трафика с машин в **vlan10** и **vlan20**.   --- ### 7) Защита от VLAN hopping 7.1 Самым действенным методом защиты является прописыванием на свитче `switchport nonegotiate`. --- ### 8) Атака CAM-table overflow 8.1 Атака фиксируется в **Wireshark**. :::info :information_source: Используемые команды для старта атаки: ``` macof -eth0 ``` :::  --- 8.2 На свитче начинается переполнение MAC адресов.  --- ### 9) Защита от CAM-table overflow 9.1 Эффективной мерой защиты является установление лимита мак адресов на порт. :::info :information_source: Используемые команды: ``` Switch(config)#int e0/1 Switch(config-if)#switchport port-security maximum 5 Switch(config)#ip dhcp snooping trust ``` :::  --- ### 10) Атака MAC Spoofing 10.1 Топология дополняется двуми машинами атакующей и жертвой.  --- 10.2 Машины получают разные MAC-адреса на свитче.  --- 10.3 На машине атаки прописывается MAC-адрес машины жертвы.  --- 10.4 MAC-адрес машины жертвы пропадает, а атакующая машина получает ее адрес.  --- ### 11) Защита от MAC Spoofing 11.1 Используем наиболее эффективные методы защиты. :::info :information_source: Используемые команды: ``` Switch(config)#int e1/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address 0050.0000.0700 ``` :::  11.2 После интерфейс **e1/1** вернул себе свой адрес.  --- ### 12) Настройка ACL -- конфигурирование оборудование Используемая схема.  12.1 Прописываем пермиты и настраиваем **NAT** на **Router**.  --- 12.2 Прописываем интерфейсы на **Router**.  --- 12.3 Настраиваем интерфейсы на **Switch**.  --- 12.4 Прописываем **IP** на **Windows 7** и проверяем возможность выхода в интернет.  --- 12.5 Прописываем **IP** на **Kali-Linux** и проверяем возможность выхода в интернет.  --- 12.6 Прописываем **IP** на **Debian** и проверяем пинг ==**8.8.8.8**==.  --- 12.7 Устанавливаем **Nginx** на **Debian-10** и пытаемся подключиться к нему с **Windows 7**. :::info :information_source: Для установки используется команда: ``` apt update -y && apt install nginx -y ``` :::  --- 12.8 Конфигурация **Access-list**.  --- 12.9 Конфигурация интерфейсов.  --- Таблица задания:  12.10 **Kali-Linux** имеет доступ к интернету, **vlan20** и **vlan30**. Исключением является порт **80** для **vlan30**, с которым соединения нет.  --- 12.11 **Windows 7** имеет доступ к **vlan10** и **Internet**. Однако доступ к **vlan30** ограничен.  --- 12.12 **Debian** имеет доступ только в интернет.  ---