---
# System prepended metadata

title: Практика 5. Безопасность локальной сети

---

# Практика 5. Безопасность локальной сети
### Задание:

1) Провести атаку на DHCP. На коммутаторе настроить защиту от Rogue DHCP Server и от DHCP starvation
2) Провести атаку VLAN hopping. На коммутаторе настроить защиту от данного типа атаки (либо предложить рекомендацию)
3) Провести атаку CAM-table overflow. На коммутаторе настроить защиту от CAM-table overflow
4) Провести атаку MAC-spoofing. Настроить защита от атаки MAC-spoofing, используя Port Security
5) Настроить ACL:
____
## Часть 1.Настройка
Схема сети
![](https://i.imgur.com/ZG5RMfE.png)
Настроим Switch. Добавим vlan 10,20
![](https://i.imgur.com/BsRgAkQ.png)
Настроим интерфейс в Kali-MITM
![](https://i.imgur.com/1EafPk2.png)
Настроим Firewall
![](https://i.imgur.com/t3j9aXw.png)
Добавим vlan 10,vlan 20 в интерфейсе pfsense
![](https://i.imgur.com/QTLRlvc.png)
![](https://i.imgur.com/pIPoSPI.png)
Настроим правила для vlan 10,vlan 20
![](https://i.imgur.com/S6psOfQ.png)
![](https://i.imgur.com/ENNswmY.png)
Настроим интерфейсы e0/3,e1/0 на Switch в сторону Kali Linux
![](https://i.imgur.com/b1uLHXh.png)
Проверим получила ли Kali Linux aдреса по DHCP
![](https://i.imgur.com/iw4WzJl.png)

## Часть 2. Атака на DHCP
Установим yersinia
![](https://i.imgur.com/2R7x4yF.png)

Запустим yersinia и пропишем mac Firewall
![](https://i.imgur.com/o43YqGX.png)

Начнем атаку
![](https://i.imgur.com/FmWAa2P.png)

Увидим пакеты DHCP в Wireshark
![](https://i.imgur.com/7WDWndZ.png)

Раздел “Leases” не заполнился
![](https://i.imgur.com/8WRcXJB.png)

Отключим dhcp snooping и начнем атаку
![](https://i.imgur.com/D5MasqU.png)

Увидим пакеты DHCP в Wireshark
![](https://i.imgur.com/9ids1C8.png)

Установим DHCPStarvator
![](https://i.imgur.com/TeHAIu8.png)

Начнем атаку
![](https://i.imgur.com/xegeLoJ.png)

Увидим пакеты DHCP в Wireshark
![](https://i.imgur.com/OM5vVLI.png)

Раздел “Leases” заполнился
![](https://i.imgur.com/nls2ioP.png)

### Защита от DHCP 
Настроим port-security на Switch
![](https://i.imgur.com/4uUdHSb.png)

Запустим атаку и увидим уведомления на Switch 
![](https://i.imgur.com/UT176Mt.png)
Посмотрим трафик в Wireshark и увидим,что DHCP пакеты не проходят
![](https://i.imgur.com/jwky7Ex.png)

## Часть 3.CAM-table overflow
Начнем атаку с помощью macof
![](https://i.imgur.com/fcB41OZ.png)

Посмотрим трафик в Wireshark и увидим ipv4 пакеты 
![](https://i.imgur.com/vkKB77l.png)

Посмотрим таблицу мак адресов на коммутаторе и увидим,что она заполнилась 
![](https://i.imgur.com/kVxODq6.png)

### Защита от CAM-table overflow
Настроим port-security на Switch
![](https://i.imgur.com/TTObu9f.png)

Запустим атаку,посмотрим таблицу мак адресов на коммутаторе и увидим,что она не заполнилась 
![](https://i.imgur.com/dfMPiAb.png)

## Часть 4. VLAN-Hopping
Настроим интерфейс 
![](https://i.imgur.com/iuTIOBR.png)
Посмотрим трафик в Wireshark
![](https://i.imgur.com/By73jSi.png)
Обнаружим номера VLAN в дампе трафика
![](https://i.imgur.com/vJ6EkoK.png)

### Защита от VLAN-Hopping

- Отключить протокол DTP
- Не использовать VLAN 1
- Отключить неиспользуемые порты
- Использовать специальный VLAN ID для всех транковых портов

# Часть 5.MAC-Spoofing
Запустим атаку с помочью арпспуфинга
![](https://i.imgur.com/akQIckA.png)
Увидим арп пакеты
![](https://i.imgur.com/ojV9Fmv.png)

Начнем атаку mac-spoofing
Через команду macchanger необходимо изменить мак адрес win7 5000.0002.0000,находящийся на интерфесе eth1 на интерфесeth0
![](https://i.imgur.com/js5Zkfd.png)

Проверим таблицу маршрутизации после атаки и увидим, что y 5000.0002.0000 интерфейс сменился на eth3
![](https://i.imgur.com/enhhkQU.png)
Для того,чтобы защититься от атаки mac-spoofing нужно настроить port-security:

Switch(config-if)#switchport port-security mac-address 5000.0017.0000
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation shutdown restrict
![Uploading file..._ooef2yzr5]()

После настройки port-security y eth3 появился статический адрес
![](https://i.imgur.com/qD9UnPB.png)


# Часть 6.Настройка ACL
Схема сети
![](https://i.imgur.com/AZnTmd4.png)
Настроим коммутатор
![](https://i.imgur.com/UQ3ziIh.png)
Настроим маршрутизатор
![](https://i.imgur.com/fLaI3k5.png)
Настроим интерфейс на Kali
![](https://i.imgur.com/HothZR7.png)
Установим nginx
![](https://i.imgur.com/UPJh0og.png)
Доступ на веб-ресурс c Kali отсутствует,но пинг есть
![](https://i.imgur.com/V8rSX6D.png)
![Uploading file..._zcn9jp09f]()

Пинг с  win7 интернет и vlan1
![](https://i.imgur.com/MXLmDEn.png)
Пинг с debian vlan11
![](https://i.imgur.com/ssR2MAy.png)
Пинг с dsbian интернет 
![](https://i.imgur.com/SY6cGwE.png)