ZADANIE.04

ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Imię
Nazwisko
ZADANIE.04
MAC flooding
MAC spoofing
DHCP snooping
-1-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
ISP
LDZ
212.191.89.192/28
dmz
security-level 50
outside
security-level 0
ISP BACKBONE
79.96.21.160/28
212.191.89.0/26
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
10.G.10.0/24
VLAN Dyrekcja
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
ISP
WRO
212.191.89.224/28
ISP
GDA
sec.lev.80
212.191.89.208/28
dmz
security-level 50
outside
security-level 0
dmz
security-level 50
outside
security-level 0
212.191.89.128/26
subinterfaces, trunk
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
VLAN Admin
sec.lev.95
10.G.10.0/24
10.G.10.0/24
VLAN Dyrekcja
VLAN Dyrekcja
sec.lev.85
212.191.89.64/26
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
10.G.20.0/24
VLAN Pracownicy
sec.lev.80
sec.lev.80
-2-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
ISP
LDZ
212.191.89.192/28
ISP BACKBONE
79.96.21.160/28
ISP
GDA
ISP
WRO
212.191.89.224/28
212.191.89.208/28
dmz
security-level 50
outside
security-level 0
dmz
security-level 50
outside
security-level 0
212.191.89.128/26
subinterfaces, trunk
subinterfaces, trunk
172.16+G.0.0/16
10.G.99.0/24
172.16+G.0.0/16
10.G.99.0/24
VLAN Admin
sec.lev.95
VLAN Admin
sec.lev.95
10.G.10.0/24
10.G.10.0/24
VLAN Dyrekcja
VLAN Dyrekcja
sec.lev.85
212.191.89.64/26
10.G.20.0/24
sec.lev.85
VLAN Pracownicy
10.G.20.0/24
VLAN Pracownicy
sec.lev.80
sec.lev.80
-3-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
1. MAC flooding (część 1)
Zadania
 Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią.
 Zainstalować
i
skonfigurować
w
sieci
Pracownicy
program
do
generowania ruchu z losowymi adresami MAC (przeprowadzić atak typu
MAC flooding czyli zalanie tablicy CAM przełącznika losowymi adresami).
 Wykazać przepełnienie tablicy CAM.
 Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku.
Materiał pomocniczy
MAC flooding
 Do przeprowadzenia ataku MAC flooding użyć programu EtherFlood:
Introduction
EtherFlood floods a switched network with Ethernet frames with random hardware addresses. The effect
on some switches is that they start sending all traffic out on all ports so you can sniff all traffic on the
network.
Usage instructions
Download the zip file and extract the files inside. Look for instructions in the Q&A for how to install the
necessary driver. Then run the EtherFlood program from a Command Prompt.
Q&A
Q: When I double-click on the exe file a window comes up and disappears immediately. What's wrong?
A: You must run the file from a Command Prompt.
Q: Why doesn't EtherFlood work?
A: Perhaps your switch isn't vulnerable to this attack. If all the LED's on the switch are blinking rapidly but
you still don't see all network traffic the switch is probably immune.
Q: How do I install the driver in Windows 2000?
A: Right-click on My Network Places and select Properties. Right-click on one of the Local Area
Connections and select Properties. Click on Install, then Protocol and Add. Click on Have Disk, then
Browse. Find the directory where the unzipped files are located and double-click on the EthDrv.inf file.
From there things should be obvious.
Q: How do I install the driver in Windows XP?
A: Click Start, then Control Panel, Network and Internet Connections, and Network Connections. Rightclick on one of the Local Area Connections and select Properties. Click Install, Protocol, then Add. Click
Have disk and then Browse. Find the directory where the unzipped files are located and double-click on
the EthDrv.inf file. From there things should be obvious.
-4-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
 Do weryfikacji zawartości tablicy CAM przełącznika użyć polecenia:
Switch# sh mac address-table
oraz
Switch# sh mac address-table count
 Do weryfikacji podatności na atak użyć programu Wireshark.
2. DHCP snooping (część 1)
Zadania
 Włączyć do sieci Pracownicy router SOHO (np. Linksys) uprzednio
konfigurując na nim serwer DHCP (pula adresów z sieci 192.168.1.0/24).
 Włączyć do sieci Pracownicy host (np. DELL) uprzednio konfigurując na
nim serwer DHCP (pula adresów z sieci 192.168.2.0/24).
 Wykazać problem przydzielania adresów przez włączony do sieci
Pracownicy router SOHO zamiast dedykowanego serwera DHCP w sieci
Admin.
3. MAC spoofing (część 1)
Zadania
 Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią.
 Zainstalować i skonfigurować w sieci Pracownicy program służący do
podszycia się pod inne urządzenia (zmiana MAC dla określonego IP).
 Podszyć się pod bramę, dla innego hosta w sieci Pracownicy.
 Wykazać skuteczność metody (tablica ARP na hoście).
 Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku.
-5-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Materiał pomocniczy
MAC spoofing
 Do przeprowadzenia ataku MAC spoofing użyć programu SwitchSniffer.
 Zainstalować program SwitchSniffer.
 Wykonać SKAN sieci (co robi program w ramach skanowania sieci?).
 Wybrać host sąsiada i podszyć się pod bramę.
-6-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
4. MAC flooding (część 2)
Zadania
 Zabezpieczyć przełącznik przed atakiem MAC flooding.
 Skonfigurować port security zgodnie z instrukcja z ZiMSK.
 Sprawdzić różnicę pomiędzy opcją mac-address sticky oraz bez niej.
 Sprawdzić różnicę pomiędzy opcjami wyłączenia portu:
SW(config-if)#switchport port-security violation ?
protect
Security violation protect mode
restrict
Security violation restrict mode
shutdown
Security violation shutdown mode
5. DHCP snooping (część 2)
Zadania
 Skonfigurować na przełączniku DHCP snooping (zaufany port, z którego
będą przychodziły komunikaty z serwera DHCP).
 Zaufane porty DHCP wymusić w sieci Pracownicy i Dyrekcja.
Materiał pomocniczy
DHCP snooping
Pod pojęciem DHCP snooping należy rozumieć kilka technik warstwy 2
modelu OSI, pozwalających między innymi na:
 śledzenie portów przyłączenia hostów do przełącznika,
 gwarancję używania IP przypisanego danemu MAC,
 gwarancję obsługi wyłącznie zaufanych serwerów DHCP.
-7-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
 Konfiguracja DHCP snooping:
 Włączyć globalnie DHCP snooping:
Switch(config)# ip dhcp snooping
 Włączyć DHCP snooping dla wybranych sieci:
Switch(config)# ip dhcp snooping vlan nr
 Wyłączyć wstawianie opcji 82 (DHCP Relay wykonuje ASA):
Switch(config)# no ip dhcp snooping information
option
 Ustawić wybrany port jako zaufane źródło ofert z serwera DHCP:
Switch(config-if)# ip dhcp snooping trust
 Weryfikacja DHCP snooping:
 Sprawdzić działanie DHCP snooping:
Switch# show ip dhcp snooping ?
6. MAC spoofing (część 2)
Zadania
 Skonfigurować na przełączniku inspekcję ARP.
 Zweryfikować jej skuteczność:
o podszycie pod bramę,
o skanowanie sieci.
-8-
ZADANIE.04
Procesy Bezpieczeństwa Sieciowego v.2011alfa
Materiał pomocniczy
 Konfiguracja ARP inspection:
 Włączyć ARP inspection dla określonego VLAN:
Switch(config)# ip arp inspection vlan nr
 Port łączący przełącznik z ASA ustawić jako zaufany:
Switch(config-if)# ip arp inspection trust
7. Czynności końcowe
 Zgrać konfiguracje urządzeń na serwer TFTP.
 Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever.
-9-