Практическая работа №5. Безопасность локальной сети

# Практическая работа №5. Безопасность локальной сети ## Григорян_ТА ## Задание: 1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation 2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию) 3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow 4) Провести атаку MAC-spoofing. Настроить защиту от атаки MAC-spoofing, используя Port Security 5) Настроить ACL: - KALI имеет доступ куда угодно, кроме debian машинки по протоколу HTTP - Win-7 машинка имеет доступ только в интернет и в VLAN-1 - Debian машинка имеет доступ только в интернет 6) В отчете необходимо отразить скрин атаки, а также конфигурацию устройства (либо часть конфигурации устройства) - которое было настроено для защиты от атак. Дополнительно в отчете отразить конфигурацию роутера при настройке ACL ## Ход работы: ### Часть 1. Атака на DHCP Проведем атаку DHCP starvation без защиты: ![](https://i.imgur.com/rIx8O9O.png) Записи на firewall: ![](https://i.imgur.com/K1asnYB.png) Трафик в wireshark: ![](https://i.imgur.com/OEoyQNW.png) Теперь настроили защиту DHCP snooping: ![](https://i.imgur.com/NN03xja.png) Повторим атаку DHCP starvation: ![](https://i.imgur.com/0clSKZT.png) Записи на фаерволе: ![](https://i.imgur.com/5mYQXEc.png) ### Часть 2. Атака VLAN hopping Проведем атаку VLAN hopping: ![](https://i.imgur.com/eSB5cnU.png) Осуществили пинг с win7 для проверки успешной атаки: ![](https://i.imgur.com/KmRr5Ud.png) Трафик в wireshark: ![](https://i.imgur.com/McSOxOO.png) Прослушали трафик и с помощью команды tshark отсортировали VLAN: ![](https://i.imgur.com/3RAYGZ2.png) Для защита от атаки назначим на всех trunk-портах неиспользуемый VLAN в качестве native (атака неуспешна, так как VLAN 999 не относится ни к одному из access-портов): ![](https://i.imgur.com/fDKmlW4.png) ### Часть 3. Атака CAM-table overflow Проведем атаку CAM-table overflow: ![](https://i.imgur.com/JO3wNht.png) Трафик в wireshark: ![](https://i.imgur.com/00q6Nis.png) Посмотрели таблицу mac-адресов на switch: ![](https://i.imgur.com/HVqWfcB.png) Настроим на switch port-security для защиты от атаки: ![](https://i.imgur.com/9Qi3nJk.png) Снова проведем атаку и посмотрим таблицу mac-адресов на switch: ![](https://i.imgur.com/3XDLSAh.png) ### Часть 4. Атака MAC-spoofing Проведем атаку MAC-spoofing: ![](https://i.imgur.com/cKmaQSx.png) Посмотрим таблицу mac-адресов на switch ![](https://i.imgur.com/piVtHCa.png) Настроим на switch port-security для защиты от атаки: ![](https://i.imgur.com/Xrn4Vh0.png) ### Часть 5. Настройка ACL листов Топология сети: ![](https://i.imgur.com/5d5C3Fe.png) Провели настройку ACL: ![](https://i.imgur.com/iIy4AjO.png) Kali linux разрешен полный доступ, кроме debian машинки по протоколу HTTP: ![](https://i.imgur.com/0d1DGib.png) Win7 имеет доступ только в интернет и в VLAN-1: ![](https://i.imgur.com/rBK68og.png) Debian машинка имеет доступ только в интернет: ![](https://i.imgur.com/iNBZ4Yd.png)