# Практика 5. Безопасность локальной сети
### Задание:
1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation
2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию)
3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow
4) Провести атаку MAC-spoofing. Настроить защита от атаки MAC-spoofing, используя Port Security
5) Настроить ACL:
____
## Часть 1.Настройка
Схема сети
Настроим Switch. Добавим vlan 10,20
Настроим интерфейс в Kali-MITM
Настроим Firewall
Добавим vlan 10,vlan 20 в интерфейсе pfsense
Настроим правила для vlan 10,vlan 20
Настроим интерфейсы e0/3,e1/0 на Switch в сторону Kali Linux
Проверим получила ли Kali Linux aдреса по DHCP
## Часть 2. Атака на DHCP
Установим yersinia
Запустим yersinia и пропишем mac Firewall
Начнем атаку
Увидим пакеты DHCP в Wireshark
Раздел “Leases” не заполнился
Отключим dhcp snooping и начнем атаку
Увидим пакеты DHCP в Wireshark
Установим DHCPStarvator
Начнем атаку
Увидим пакеты DHCP в Wireshark
Раздел “Leases” заполнился
### Защита от DHCP
Настроим port-security на Switch
Запустим атаку и увидим уведомления на Switch
Посмотрим трафик в Wireshark и увидим,что DHCP пакеты не проходят
## Часть 3.CAM-table overflow
Начнем атаку с помощью macof
Посмотрим трафик в Wireshark и увидим ipv4 пакеты
Посмотрим таблицу мак адресов на коммутаторе и увидим,что она заполнилась
### Защита от CAM-table overflow
Настроим port-security на Switch
Запустим атаку,посмотрим таблицу мак адресов на коммутаторе и увидим,что она не заполнилась
## Часть 4. VLAN-Hopping
Настроим интерфейс
Посмотрим трафик в Wireshark
Обнаружим номера VLAN в дампе трафика
### Защита от VLAN-Hopping
- Отключить протокол DTP
- Не использовать VLAN 1
- Отключить неиспользуемые порты
- Использовать специальный VLAN ID для всех транковых портов
# Часть 5.MAC-Spoofing
Запустим атаку с помочью арпспуфинга
Увидим арп пакеты
Начнем атаку mac-spoofing
Через команду macchanger необходимо изменить мак адрес win7 5000.0002.0000,находящийся на интерфесе eth1 на интерфесeth0
Проверим таблицу маршрутизации после атаки и увидим, что y 5000.0002.0000 интерфейс сменился на eth3
Для того,чтобы защититься от атаки mac-spoofing нужно настроить port-security:
Switch(config-if)#switchport port-security mac-address 5000.0017.0000
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown restrict
![Uploading file..._ooef2yzr5]()
После настройки port-security y eth3 появился статический адрес
# Часть 6.Настройка ACL
Схема сети
Настроим коммутатор
Настроим маршрутизатор
Настроим интерфейс на Kali
Установим nginx
Доступ на веб-ресурс c Kali отсутствует,но пинг есть
![Uploading file..._zcn9jp09f]()
Пинг с win7 интернет и vlan1
Пинг с debian vlan11
Пинг с dsbian интернет
Sign in with Wallet
Connect another wallet