###### tags: `Network` # Отчет по заданиям к практической работе №5. Безопасность локальной сети: ### 1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation. |Атака на DHCP.| |:---------------------| |1. Атака отправкой DISCOVER-пакетов.| || || |2. DHCP Starvation.| || || || || |Защита от атак на DHCP.| |:---------------------| || ### 2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию). |VLAN hopping.| |:---------------------| || || || |Защита от VLAN hopping(рекомендация).| |:---------------------| |Командой `switchport nonegotiate` мы можем отключить возможность автоматического согласования с коммутатором `trunk-портом` и делаем атаку нереализуемой.| ### 3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow. |CAM-table overflow.| |:---------------------| || || |Защита от CAM-table overflow.| |:---------------------| || ### 4) Провести атаку MAC-spoofing. Настроить защиту от атаки MAC-spoofing, используя Port Security. |Добавим в топологию две `Linux-машины` и проверим их `MAC-адреса`.| |:---------------------| |Видим, что в коммутаторе появились две машины с разными `MAC-адресами`.| || |Изменим `MAC-адрес` сетевого интерфейса `eth0` на нашей атакующей машине.| |:---------------------| |`nano /etc/network/inerfaces`| |`auto eth0`| |`iface eth0 inet dhcp`| |`hwaddress ether 01:02:03:04:05:06`| |`service networking restart`| || |Коммутатор получил новый `MAC-адрес` атакующей машины на `e1/2` точно такой же, как до этого был на `e1/1` и записал в `MAC-table` нашу атакующую машину.| |:---------------------| |Переодически `MAC-table` меняет данный `MAC-адрес` на `e1/1`, т.к. с `MAIN PC` прилетает пакет с таким же `MAC-адресом`.| || |Защита от MAC-spoofing.| |:---------------------| || || ### 5) Настроить ACL: || |:---------------------| || || ||