ZADANIE.04
Transkrypt
ZADANIE.04
ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa Imię Nazwisko ZADANIE.04 MAC flooding MAC spoofing DHCP snooping -1- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa ISP LDZ 212.191.89.192/28 dmz security-level 50 outside security-level 0 ISP BACKBONE 79.96.21.160/28 212.191.89.0/26 subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 10.G.10.0/24 VLAN Dyrekcja 10.G.20.0/24 sec.lev.85 VLAN Pracownicy ISP WRO 212.191.89.224/28 ISP GDA sec.lev.80 212.191.89.208/28 dmz security-level 50 outside security-level 0 dmz security-level 50 outside security-level 0 212.191.89.128/26 subinterfaces, trunk subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja VLAN Dyrekcja sec.lev.85 212.191.89.64/26 10.G.20.0/24 sec.lev.85 VLAN Pracownicy 10.G.20.0/24 VLAN Pracownicy sec.lev.80 sec.lev.80 -2- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa ISP LDZ 212.191.89.192/28 ISP BACKBONE 79.96.21.160/28 ISP GDA ISP WRO 212.191.89.224/28 212.191.89.208/28 dmz security-level 50 outside security-level 0 dmz security-level 50 outside security-level 0 212.191.89.128/26 subinterfaces, trunk subinterfaces, trunk 172.16+G.0.0/16 10.G.99.0/24 172.16+G.0.0/16 10.G.99.0/24 VLAN Admin sec.lev.95 VLAN Admin sec.lev.95 10.G.10.0/24 10.G.10.0/24 VLAN Dyrekcja VLAN Dyrekcja sec.lev.85 212.191.89.64/26 10.G.20.0/24 sec.lev.85 VLAN Pracownicy 10.G.20.0/24 VLAN Pracownicy sec.lev.80 sec.lev.80 -3- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa 1. MAC flooding (część 1) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Zainstalować i skonfigurować w sieci Pracownicy program do generowania ruchu z losowymi adresami MAC (przeprowadzić atak typu MAC flooding czyli zalanie tablicy CAM przełącznika losowymi adresami). Wykazać przepełnienie tablicy CAM. Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. Materiał pomocniczy MAC flooding Do przeprowadzenia ataku MAC flooding użyć programu EtherFlood: Introduction EtherFlood floods a switched network with Ethernet frames with random hardware addresses. The effect on some switches is that they start sending all traffic out on all ports so you can sniff all traffic on the network. Usage instructions Download the zip file and extract the files inside. Look for instructions in the Q&A for how to install the necessary driver. Then run the EtherFlood program from a Command Prompt. Q&A Q: When I double-click on the exe file a window comes up and disappears immediately. What's wrong? A: You must run the file from a Command Prompt. Q: Why doesn't EtherFlood work? A: Perhaps your switch isn't vulnerable to this attack. If all the LED's on the switch are blinking rapidly but you still don't see all network traffic the switch is probably immune. Q: How do I install the driver in Windows 2000? A: Right-click on My Network Places and select Properties. Right-click on one of the Local Area Connections and select Properties. Click on Install, then Protocol and Add. Click on Have Disk, then Browse. Find the directory where the unzipped files are located and double-click on the EthDrv.inf file. From there things should be obvious. Q: How do I install the driver in Windows XP? A: Click Start, then Control Panel, Network and Internet Connections, and Network Connections. Rightclick on one of the Local Area Connections and select Properties. Click Install, Protocol, then Add. Click Have disk and then Browse. Find the directory where the unzipped files are located and double-click on the EthDrv.inf file. From there things should be obvious. -4- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa Do weryfikacji zawartości tablicy CAM przełącznika użyć polecenia: Switch# sh mac address-table oraz Switch# sh mac address-table count Do weryfikacji podatności na atak użyć programu Wireshark. 2. DHCP snooping (część 1) Zadania Włączyć do sieci Pracownicy router SOHO (np. Linksys) uprzednio konfigurując na nim serwer DHCP (pula adresów z sieci 192.168.1.0/24). Włączyć do sieci Pracownicy host (np. DELL) uprzednio konfigurując na nim serwer DHCP (pula adresów z sieci 192.168.2.0/24). Wykazać problem przydzielania adresów przez włączony do sieci Pracownicy router SOHO zamiast dedykowanego serwera DHCP w sieci Admin. 3. MAC spoofing (część 1) Zadania Zbudować sieć laboratoryjną zgodnie z przedstawioną topologią. Zainstalować i skonfigurować w sieci Pracownicy program służący do podszycia się pod inne urządzenia (zmiana MAC dla określonego IP). Podszyć się pod bramę, dla innego hosta w sieci Pracownicy. Wykazać skuteczność metody (tablica ARP na hoście). Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. -5- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa Materiał pomocniczy MAC spoofing Do przeprowadzenia ataku MAC spoofing użyć programu SwitchSniffer. Zainstalować program SwitchSniffer. Wykonać SKAN sieci (co robi program w ramach skanowania sieci?). Wybrać host sąsiada i podszyć się pod bramę. -6- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa 4. MAC flooding (część 2) Zadania Zabezpieczyć przełącznik przed atakiem MAC flooding. Skonfigurować port security zgodnie z instrukcja z ZiMSK. Sprawdzić różnicę pomiędzy opcją mac-address sticky oraz bez niej. Sprawdzić różnicę pomiędzy opcjami wyłączenia portu: SW(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode 5. DHCP snooping (część 2) Zadania Skonfigurować na przełączniku DHCP snooping (zaufany port, z którego będą przychodziły komunikaty z serwera DHCP). Zaufane porty DHCP wymusić w sieci Pracownicy i Dyrekcja. Materiał pomocniczy DHCP snooping Pod pojęciem DHCP snooping należy rozumieć kilka technik warstwy 2 modelu OSI, pozwalających między innymi na: śledzenie portów przyłączenia hostów do przełącznika, gwarancję używania IP przypisanego danemu MAC, gwarancję obsługi wyłącznie zaufanych serwerów DHCP. -7- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa Konfiguracja DHCP snooping: Włączyć globalnie DHCP snooping: Switch(config)# ip dhcp snooping Włączyć DHCP snooping dla wybranych sieci: Switch(config)# ip dhcp snooping vlan nr Wyłączyć wstawianie opcji 82 (DHCP Relay wykonuje ASA): Switch(config)# no ip dhcp snooping information option Ustawić wybrany port jako zaufane źródło ofert z serwera DHCP: Switch(config-if)# ip dhcp snooping trust Weryfikacja DHCP snooping: Sprawdzić działanie DHCP snooping: Switch# show ip dhcp snooping ? 6. MAC spoofing (część 2) Zadania Skonfigurować na przełączniku inspekcję ARP. Zweryfikować jej skuteczność: o podszycie pod bramę, o skanowanie sieci. -8- ZADANIE.04 Procesy Bezpieczeństwa Sieciowego v.2011alfa Materiał pomocniczy Konfiguracja ARP inspection: Włączyć ARP inspection dla określonego VLAN: Switch(config)# ip arp inspection vlan nr Port łączący przełącznik z ASA ustawić jako zaufany: Switch(config-if)# ip arp inspection trust 7. Czynności końcowe Zgrać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje urządzeń na pendrive/e-mail/whatever. -9-